bencede
New member
HPE, Oneview BT altyapı yönetimindeki güvenlik açıkları konusunda uyarıyor. Saldırganlar, diğer şeylerin yanı sıra, ağdan kötü amaçlı kod enjekte edebilir ve yürütebilir, Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığından yararlanabilir, sistemdeki ayrıcalıklarını yükseltebilir, yetkisiz bir kurtarma oluşturabilir veya hizmet reddine neden olabilir.
Duyuru
Bir destek makalesinde HPE geliştiricileri, HPE Oneview 8.70 güncellemesinden etkilenen önceki sürümlerde doldurulacak güvenlik boşluklarını özetlemektedir. Sunucu tarafı istek sahteciliği mod_proxy Apache HTTP Sunucusu 2.4.48 ve önceki sürümlerde Oneview'i de etkiler (CVE-2021-40438, CVSS 9.0“Risk”eleştirmen“).
HPE Oneview'deki kritik, yüksek riskli ve orta riskli güvenlik açıkları
Ayrıca saldırganlar Oneview'e komutlar ekleyebilir ve ayrıcalıklarını belirtilmemiş yollarla yükseltebilir (CVE-2023-50274, CVSS) 7.8, yüksek). Bu nedenle, CVE-2023-50275, CVSS, CVE-2023-50275'e yol açacak şekilde ClusterService'deki kimlik doğrulamayı atlayabilir. 7.5, yüksek). En son güvenlik açığı, parola belirtmeden kurtarmaya izin verebilir (CVE-2023-6573, CVSS) 5.5, orta).
HPE Oneview v8.70.00 veya sonraki bir sürüme güncellemenin amacı güvenlik açıklarını gidermektir. HPE Destek Merkezi'nden indirilebilir. HPE, Oneview 6.60 LTS'nin de etkilendiğini ancak desteğin sonuna ulaştığını ve bu nedenle doğrudan güncelleme almayacağını ekliyor.
Geçtiğimiz Eylül ayında HPE, Oneview için güvenlik güncellemelerini yayınlamak zorunda kaldı. O zamanlar boşluklar, yazılım kimlik doğrulamasının kötü niyetli aktörler tarafından atlanabileceği anlamına geliyordu.
(Bilmiyorum)
Haberin Sonu
Duyuru
Bir destek makalesinde HPE geliştiricileri, HPE Oneview 8.70 güncellemesinden etkilenen önceki sürümlerde doldurulacak güvenlik boşluklarını özetlemektedir. Sunucu tarafı istek sahteciliği mod_proxy Apache HTTP Sunucusu 2.4.48 ve önceki sürümlerde Oneview'i de etkiler (CVE-2021-40438, CVSS 9.0“Risk”eleştirmen“).
HPE Oneview'deki kritik, yüksek riskli ve orta riskli güvenlik açıkları
Ayrıca saldırganlar Oneview'e komutlar ekleyebilir ve ayrıcalıklarını belirtilmemiş yollarla yükseltebilir (CVE-2023-50274, CVSS) 7.8, yüksek). Bu nedenle, CVE-2023-50275, CVSS, CVE-2023-50275'e yol açacak şekilde ClusterService'deki kimlik doğrulamayı atlayabilir. 7.5, yüksek). En son güvenlik açığı, parola belirtmeden kurtarmaya izin verebilir (CVE-2023-6573, CVSS) 5.5, orta).
HPE Oneview v8.70.00 veya sonraki bir sürüme güncellemenin amacı güvenlik açıklarını gidermektir. HPE Destek Merkezi'nden indirilebilir. HPE, Oneview 6.60 LTS'nin de etkilendiğini ancak desteğin sonuna ulaştığını ve bu nedenle doğrudan güncelleme almayacağını ekliyor.
Geçtiğimiz Eylül ayında HPE, Oneview için güvenlik güncellemelerini yayınlamak zorunda kaldı. O zamanlar boşluklar, yazılım kimlik doğrulamasının kötü niyetli aktörler tarafından atlanabileceği anlamına geliyordu.
(Bilmiyorum)
Haberin Sonu