Vulnerabilidad de divulgación de información privilegiada en varios productos de HPE

Fecha de publicación 22/10/2020
Importancia
5 - Crítica
Recursos Afectados
  • BlueData EPIC Software, versión 4.0 y anteriores;
  • HPE Ezmeral Container Platform, versión 5.0.
Descripción

Hamoon Raphael Mehran, de Early Warning Security, ha reportado una vulnerabilidad, de severidad crítica, de tipo divulgación remota de información privilegiada.

Solución
  • La versión 4.0 de BlueData EPIC Software Platform dispone de un parche que soluciona la vulnerabilidad. Contactar con el soporte técnico de HPE para obtenerlo;
  • actualizar HPE Ezmeral Container Platform a la versión 5.1 o posteriores.
Detalle

Los productos afectados por esta vulnerabilidad utilizan un método inseguro en la gestión de contraseñas de Kerberos, que es susceptible a que las contraseñas sean interceptadas y/o recuperadas sin autorización. Concretamente, se muestra kdc_admin_password en el archivo fuente de la URL /bdswebui/assignusers/. Se ha asignado el identificador CVE-2020-7196 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
HPESBGN04049 rev.1 - HPE BlueData EPIC Software Platform and HPE Ezmeral Container Platform, Remote Disclosure of Privileged Information
Etiquetas