25 de marzo de 2019

HPE. Divulgación de información en NonStop SafeGuard

HPE ha publicado una vulnerabilidad en su producto NonStop SafeGuard que podría permitir a un atacante la divulgación local de las credenciales, catalogada de Importancia: 4 - Alta
Recursos afectados:
SAFEGUARD: todas las versiones anteriores a T9750L01^AID o T9750H05^AIH y posteriores cuando el atributo de configuración PASSWORD-PROMPT no está configurado en BLIND.
STDSEC-STANDARD SECURITY PROD: todas las versiones anteriores a T6533L01^ADU o T6533H05^ADW y posteriores cuando el atributo de configuración PASSWORD-PROMPT no está configurado en BLIND.
Detalle de vulnerabilidades
Algunos comandos del software NonStop Safeguard y NonStop Standard Security requieren que el nombre de usuario y la contraseña se pasen como parámetros de línea de comandos, lo que puede conducir a una divulgación local de las credenciales. Se ha reservado el identificador CVE-2018-7119 para esta vulnerabilidad.
Recomendación
Instalar los SPRs apropiados en función de la versión de lanzamiento:
1)   L-series:
a)   T9750L01^AID (SAFEGUARD), ya disponible
b)   T6533L01^ADU (STDSEC-STANDARD SECURITY PROD), ya disponible
2)   J-series:
a)   T9750H05^AIH (SAFEGUARD) - estará disponible en la próxima RVU serie J
b)   T6533H05^ADW (STDSEC-STANDARD SECURITY PROD) - estará disponible en la próxima RVU serie J
Más información
Fuente: INCIBE