FEHLER!

HPE behebt Sicherheitslücken in Oneview-Software mit Update auf Version 8.70

Hewlett Packard Enterprise (HPE) hat kürzlich potenzielle Sicherheitsrisiken in ihrer IT-Infrastrukturverwaltungssoftware Oneview bekannt gegeben. Diese Risiken können es Angreifern ermöglichen, Schadsoftware einzuschleusen und auszuführen sowie verschiedene Angriffe wie Server Side Request Forgery (SSRF) durchzuführen, Zugriffsrechte zu erhöhen, unberechtigte Wiederherstellungen vorzunehmen oder einen Denial-of-Service-Angriff zu provozieren.

Um diese Sicherheitsprobleme zu beheben, hat HPE ein Update auf HPE Oneview 8.70 veröffentlicht. Dieses Update behebt die Sicherheitslücken, die in den vorherigen betroffenen Versionen vorhanden waren. Insbesondere behebt es eine Schwachstelle im älteren Apache HTTP-Server 2.4.48 und früher, die auch in Oneview vorhanden ist und als Server-Side-Request-Forgery-Schwachstelle bekannt ist (CVE-2021-40438, CVSS 9.0, Risiko: kritisch). Zusätzlich behebt das Update eine weitere Schwachstelle, die es Angreifern ermöglicht, Befehle in Oneview einzuschleusen und ihre Zugriffsrechte zu erweitern (CVE-2023-50274, CVSS 7.8, hoch). Eine weitere Schwachstelle ermöglicht es Angreifern, die Authentifizierung am clusterService zu umgehen, was zu einem Denial-of-Service führen kann (CVE-2023-50275, CVSS 7.5, hoch). Die letzte Schwachstelle ermöglicht eine Wiederherstellung ohne die Angabe einer Passphrase (CVE-2023-6573, CVSS 5.5, mittel).

HPE empfiehlt allen Nutzern, auf HPE Oneview v8.70.00 oder eine neuere Version zu aktualisieren, um die Sicherheitslücken zu beheben. Das Update kann im HPE-Support-Center heruntergeladen werden. Es ist jedoch wichtig zu beachten, dass auch Oneview 6.60 LTS von den Sicherheitslücken betroffen ist, jedoch bereits das Ende des Supportzeitraums erreicht hat und daher keine direkte Aktualisierung mehr erhält.

Es ist erwähnenswert, dass HPE bereits im September letzten Jahres Sicherheitsaktualisierungen für Oneview bereitstellen musste. Damals wurde festgestellt, dass die Software-Authentifizierung von bösartigen Personen umgangen werden konnte. Daher ist es ratsam, die Software regelmäßig auf Sicherheitsupdates zu überprüfen und diese schnellstmöglich zu installieren, um mögliche Sicherheitsrisiken zu minimieren.

Schlagwörter: HPE + CVSS + Oneview

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 24. Januar 2024