3 de octubre de 2018

Múltiples vulnerabilidades en productos HPE

Se han detectado varias vulnerabilidades, catalogadas de importancia: 4 – Alta, en diversos productos de HPE:
  • En HPE StorageWorks XP7 Automation Director podría provocar bypass de autenticación local y remota.
  • En HPE XP P9000 Command View Advanced Edition podría provocar acceso sin autorización a información sensible, tanto local como remota.
  • En HPE Command View Advanced Edition podría provocar bypass de restricción local y remota.
  • En HPE Command View Advanced Edition usando JDK podría provocar bypass de autenticación local y remota.
  • Múltiples vulnerabilidades en HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor.
  • En HPE Internet Usage Manager mejorado podría provocar modificación remota de archivos arbitrarios.
Recursos afectados:
·        HP XP7 Automation Director Software de 8.5.2-02 a antes de 8.6.1-00.
·        HPE XP7 Automation Director Software de 8.5.2-02 a antes de 8.6.1-00 para los modelos 1TB 101-250TB LTU, 1TB 251-500TB LTU, 1TB Enterprise LTU, 1TB Over 500TB LTU, 1TB-day Meter LTU, Base LTU y Unlimited LTU.
·        Todas las licencias de HPE XP P9000 Command View Advanced Edition Software.
·        Todas los HPE XP7 Command View Advanced Edition Suite.
·        HPE 3PAR Service Processors - anterior a SP-4.4.0.GA-110(MU7).
·        HP ConvergedSystem 700 Virtualization 2.0 VMware Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
·        HP ConvergedSystem 700x for VMware Solution Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
·        HP ConvergedSystem 700x v1.1 VMware Kit - anterior a SWFW Compatibility Matrix de noviembre 2017.
·        HPE enhanced Internet Usage Manager (eIUM) 9.0 FP01 - Incluyendo versiones específicas del cliente basadas en la versión 9.0 FP01.
Recomendación
1)   Para HPE StorageWorks XP7 Automation Director actualizar a AutoDir version 8.6.1-00 o posteriores.
2)   Para HPE XP P9000 Command View Advanced Edition aplicar las actualizaciones DevMgr 8.6.1-00 y CM 8.6.1-00 (solo si REST API es usado, en caso contraio desintalar CM).
3)   Para HPE Command View Advanced Edition actualizar a las versiones especificadas o superiores:
a)   DevMgr 8.6.0-00: desde DevMgr 8.4.0-00 o superiores, CM está también instalado con DevMgr automáticamente. Esta vulnerabilidad está corregida en DevMgr 8.6.0-00, que incluye CM 8.6.0-00. Para arreglar esta vulnerabilidad:
i)    Actualizar DevMgr y CM a 8.6.1-00 o superiores.
ii)   Si la funcionalidad de CM no es necesaria, desinstalar CM después de haber actualizado DevMgr 8.6.0-00.
b)   TSMgr 8.6.0-00
c)   RepMgr 8.6.0-00
d)   HGLM 8.6.0-00
e)   AutoDir 8.6.0-00
f)    CM 8.6.1-00: desde DevMgr 8.4.0-00 o superiores, CM está también instalado con DevMgr automáticamente. Esta vulnerabilidad está corregida en DevMgr 8.6.0-00, que incluye CM 8.6.0-00. Para arreglar esta vulnerabilidad:
i)    Actualizar DevMgr y CM a 8.6.1-00 o superiores.
ii)   Si la funcionalidad de CM no es necesaria, desinstalar CM después de haber actualizado DevMgr 8.6.0-00.
4)   Para HPE Command View Advanced Edition las vulnerabilidades se resolverán en una futura versión de los productos, como solución provisional se puede cambar el JDK usado por estos productos a Oracle JDK (8u181 o superior).
5)   Para HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor seguir los pasos especificados en la web de la vulnerabilidad listada en la sección Referencias.
6)   Para HPE Internet Usage Manager mejorado se debe aplicar el último parche acumulativo eIUM90FP01XXX.YYYYMMDD-HHMM a todas las instalaciones basadas en la versión 9.0 FP01XXX, donde XXX es un identificador del cliente.
Detalle de vulnerabilidades:
Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:
·        HPE StorageWorks XP7 Automation Director (AutoDir) versión 8.5.2-02 a anterior a la 8.6.1-00 tiene una vulnerabilidad que expuso la información de autenticación del usuario del sistema de almacenamiento. Este problema a veces se produce bajo condiciones específicas al ejecutar una plantilla de servicio. Se ha asignado el identificador CVE-2018-7108.
·        Los productos HPE XP P9000 Command View Advanced Edition (CVAE) tienen una vulnerabilidad en el servidor web, que se incluye con los productos CVAE, donde se puede recuperar la información del usuario. Este software podría ser explotado para permitir el acceso no autorizado local y remoto a información confidencial. Se ha asignado el identificador CVE-2016-9877.
·        HPE Command View Advanced Edition (CVAE) es vulnerable al bypass de restricción de acceso local y remoto. Se han asignado los identificadores CVE-2017-3736 y CVE-2017-3738.
·        HPE Command View Advanced Edition (CVAE) usando JDK es vulnerable al bypass de autenticación de acceso local y remoto. Se han asignado los identificadores CVE-2018-2940, CVE-2018-2952 y CVE-2018-2973.
·        En HPE ConvergedSystem 700 Solutions usando HPE 3PAR Service Processor las vulnerabilidades pueden explotarse localmente para permitir el cruce de directorios, la divulgación de información privilegiada y la explotación remota para permitir la omisión de restricción de acceso, la ejecución de código y Cross-Site Request Forgery (CSRF). Se han asignado los identificadores CVE-2018-7095, CVE-2018-7096, CVE-2018-7097, CVE-2018-7098 y CVE-2018-7099.
·        En HPE Internet Usage Manager mejorado (eIUM) tiene una vulnerabilidad de modificación arbitraria remota de ficheros. Se ha asignado el identificador CVE-2018-7109.
Más información
Fuente: INCIBE