Se han detectado dos
vulnerabilidades de severidad crítica en servidores HPE que utilizan
procesadores AMD, donde un atacante con acceso remoto podría obtener una
elevación de privilegios, modificación no autorizada y divulgación de información
o generar una condición de denegación de servicios (DoS), catalogada de Importancia:
5 - Crítica
Recursos afectados:
·
HPE
ProLiant DL385 Gen10 Server anteriores a 1.22_04-16-2018.
·
HPE
Cloudline CL3150 Gen10 Server con procesadores AMD.
Recomendación
HPE ha puesto a
disposición de los usuarios las directrices a llevar a cabo para solventar las
vulnerabilidades. Estas directrices pueden consultarse en el siguiente enlace:
Detalle de vulnerabilidades
Los procesadores AMD
EPYC Server carecen de insuficiente control de acceso a las regiones de memoria
protegida. Se ha reservado el identificador CVE-2018-8933 para esta
vulnerabilidad.
Los procesadores AMD
EPYC Server, Ryzen, Ryzen Pro, y Ryzen Mobile no disponen de una correcta
validación de arranque por hardware. Se ha reservado el identificador
CVE-2018-8930 para esta vulnerabilidad.
Más información
·
SUPPORT
COMMUNICATION - SECURITY BULLETIN Document ID: hpesbhf03841en_us Version: 1
HPESBHF03841 rev.1 - Certain HPE Servers with AMD-based Processors, Multiple
Vulnerabilities (Fallout/Masterkey) https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03841en_us
Fuente: INCIBE
