HPE OneView Güvenlik Açığı Saldırganın Kimlik Doğrulamasını Atlamasına İzin Veriyor

   Eylül 11, 2023  Posted in CyberSecurityNews


HPE OneView Güvenlik Açığı Saldırganın Kimlik Doğrulamasını Atlamasına İzin Veriyor

Hewlett Packard Enterprise OneView Yazılımında, kimlik doğrulamanın atlanmasına, hassas bilgilerin ifşa edilmesine ve hizmet reddine izin vermek için uzaktan yararlanılabilecek üç güvenlik açığı belirlendi.

HPE OneView, BT işlemlerini otomatikleştiren ve bilgi işlem, depolama ve ağ iletişimi de dahil olmak üzere altyapı yaşam döngüsü yönetimini kolaylaştıran entegre bir BT altyapı yönetimi yazılımıdır.

Açıklanan Güvenlik Açıkları

CVE-2023-30908 – Uzaktan Kimlik Doğrulamayı Atlatma

CVSS puanı 9,8 olan bu güvenlik açığı, bir saldırganın kimlik doğrulamayı atlamasına ve HPE OneView’a yetkisiz erişim elde etmesine olanak tanır. Kusur, HPE OneView’ın kullanıcı kimlik bilgilerini yönetme biçiminden kaynaklanmaktadır.

Saldırgan, HPE OneView sunucusuna özel hazırlanmış bir istek göndererek bu güvenlik açığından yararlanabilir.

CVE-2023-30908 kusuru, Trend Micro Zero Day Initiative ile birlikte Summoning Ekibinden (@SummoningTeam) Sina Kheirkhah (@SinSinology) tarafından rapor edildi.

CVE-2022-4304 – Hassas Bilgilerin İfşa Edilmesi

OpenSSL’deki RSA Şifre Çözme uygulamasındaki zamanlamaya dayalı bir yan kanal, uzaktaki bir saldırganın hassas bilgileri almasına izin verebilir. Bir saldırgan, şifreyi çözmek için aşırı sayıda deneme mesajı göndererek bu sorundan yararlanabilir.

CVE-2023-2650 – Hizmet Reddi

Uzaktaki bir saldırgan, HPE OneView’da bir hizmet reddi (DoS) saldırısı başlatmak için bu sorundan yararlanabilir. Kusur, OpenSSL’nin OBJ_obj2txt() yöntemini işleme biçimindedir.

Bir saldırgan, HPE OneView sunucusuna özel hazırlanmış bir istek göndererek bu kusurdan yararlanabilir.

Etkilenen Sürümler

HPE OneView – v8.5 ve v6.60.05 yamasından önce

Düzeltme Mevcut

Hewlett Packard Enterprise OneView Sürüm 8.5 ve 6.60.05 yamasındaki bu güvenlik açıklarını gidermek için HPE aşağıdaki yazılım yükseltmesini yayımladı.

  • Hewlett Packard Enterprise OneView v8.5 veya üzeri
  • Hewlett Packard Enterprise OneView v6.60.05 LTS

En son yazılımı indirmek için HPE Destek Merkezini ziyaret edebilirsiniz.

HPE, etkilenen HPE OneView sürümleri için düzeltmeler yayınladı. Sistemleri bu açıklardan korumak için kullanıcıların güncellemeleri mümkün olan en kısa sürede uygulamaları gerekir.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link