Codeschmuggel-Lücke in HPE Oneview
Mehrere Sicherheitslücken in der IT-Infrastrukturverwaltung HPE Oneview ermöglichen Angreifern, etwa Schadcode einzuschleusen. Updates stehen bereit.
(Bild: Shutterstock)
HPE warnt vor Sicherheitslücken in der IT-Infrastrukturverwaltung Oneview. Angreifer könnten unter anderem Schadcode aus dem Netz einschleusen und ausführen, eine Server Side Request Forgery (SSRF)-Schwachstelle ausnutzen, ihre Rechte im System erhöhen, eine unbefugte Wiederherstellung anlegen oder einen Denial-of-Service provozieren.
In einem Support-Artikel fassen die HPE-Entwickler die Sicherheitslücken zusammen, die mit dem Update auf HPE Oneview 8.70 in den betroffenen Vorgängerversionen geschlossen werden. Eine Server-Side-Request-Forgery in mod_proxy im Apache HTTP-Server 2.4.48 und älter betrifft auch Oneview (CVE-2021-40438, CVSS 9.0, Risiko "kritisch").
Kritische, hochriskante und mittelschwere Lücken in HPE Oneview
Außerdem können Angreifer auf nicht näher erläuterten Wegen Befehle in Oneview einschleusen und ihre Rechte ausweiten (CVE-2023-50274, CVSS 7.8, hoch). Eine Authentifizierung am clusterService lasse sich demnach umgehen, was in einem Denial-of-Service mündet (CVE-2023-50275, CVSS 7.5, hoch). Die letzte Schwachstelle kann eine Wiederherstellung ohne Angabe einer Passphrase ermöglichen (CVE-2023-6573, CVSS 5.5, mittel).
Die Aktualisierung auf HPE Oneview v8.70.00 oder neuer soll die Sicherheitslücken abdichten. Sie steht im HPE-Support-Center zum Herunterladen bereit. HPE ergänzt, dass auch Oneview 6.60 LTS betroffen ist, jedoch jenseits des Support-Endes angelangt ist und somit keine direkte Aktualisierung erhält.
Im vergangenen September hatte HPE bereits Sicherheitsupdates für Oneview verteilen müssen. Damals war etwa aufgrund der Lücken die Authentifizierung der Software von bösartigen Akteuren umgehbar.
(dmk)
