Vulnerabilidad de divulgación de información privilegiada en varios productos de HPE
Fecha de publicación 22/10/2020
Importancia
5 - Crítica
Recursos Afectados
- BlueData EPIC Software, versión 4.0 y anteriores;
- HPE Ezmeral Container Platform, versión 5.0.
Descripción
Hamoon Raphael Mehran, de Early Warning Security, ha reportado una vulnerabilidad, de severidad crítica, de tipo divulgación remota de información privilegiada.
Solución
- La versión 4.0 de BlueData EPIC Software Platform dispone de un parche que soluciona la vulnerabilidad. Contactar con el soporte técnico de HPE para obtenerlo;
- actualizar HPE Ezmeral Container Platform a la versión 5.1 o posteriores.
Detalle
Los productos afectados por esta vulnerabilidad utilizan un método inseguro en la gestión de contraseñas de Kerberos, que es susceptible a que las contraseñas sean interceptadas y/o recuperadas sin autorización. Concretamente, se muestra kdc_admin_password en el archivo fuente de la URL /bdswebui/assignusers/. Se ha asignado el identificador CVE-2020-7196 para esta vulnerabilidad.
Listado de referencias
Etiquetas