Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en productos HPE

Fecha de publicación 17/06/2022
Identificador

INCIBE-2022-0800

Importancia
5 - Crítica
Recursos Afectados
  • Cray Legacy Shasta System Solutions y supercomputadores HPE Cray EX:
    • todas las versiones del firmware del controlador de nodo asociadas a las palas de refrigeración líquida HPE Cray EX;
    • todas las versiones del firmware del controlador de chasis asociadas a las cabinas de refrigeración líquida HPE Cray EX anteriores a 1.6.27/1.5.33/1.4.27.
  • HPE Slingshot, versiones anteriores a 1.7.2.
Descripción

HPE Product Security Response Team ha reportado una vulnerabilidad crítica de omisión de autenticación que podría ser explotada por un atacante remoto.

Solución

Las versiones correctoras de productos afectados por esta vulnerabilidad son:

  • HPE Olympus cCnC Firmware 1.6.22 (incluido en HPC Firmware Pack 22.04);
  • Shasta V1.5-FW0522;
  • Shasta V1.4.2A-FW0522;
  • HPE Slingshot Software 1.7.2.

Estas versiones se pueden descargar desde el centro de soporte de HPE y, a continuación, seguir las instrucciones de instalación de la sección RESOLUTION del aviso del fabricante.

Detalle

Una vulnerabilidad de seguridad crítica en varios productos de HPE podría ser explotada de forma remota para permitir la evasión de la autenticación por parte del atacante. Se ha asignado el identificador CVE-2022-28620 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
HPESBCR04284 rev.1 - HPE Cray EX Supercomputers, Cray Shasta System Solutions, and HPE Slingshot Switches, Remote Authentication Bypass
Etiquetas