Se
han confirmado una vulnerabilidad grave en HP Data Protector Express, que
podría permitir a un atacante remoto conseguir ejecutar código arbitrario en
los sistemas afectados.
Detalle
e Impacto de la vulnerabilidad
- La vulnerabilidad, con CVE-2014-2623, tiene una puntuación CVSS de 10, lo cual determina su alta gravedad. No se han ofrecido detalles sobre la causa del problema, salvo que puede permitir a un atacante remoto la ejecución de código arbitrario.
- Se ven afectadas las versiones HP Storage Data Protector v8.X para Windows 2003, 2008, 7 y 8.
HP ha proporcionado el siguiente procedimiento
para evitar esta vulnerabilidad:
- Activar los servicios "Encrypted Control Communications (ECC)" en el servidor y en todos los clientes. Para ello se debe ejecutar desde la línea de comando ( # omnicc -encryption -enable )
·
Para saber si ECC está activo usar (# omnicc -encryption -status
-all )
Más información:
- HPSBMU03072 SSRT101644 rev.2 - HP Data Protector, Remote Execution of Arbitrary Code https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04373818