Hewlett-Packard устранила 6 уязвимостей в решении HP Data Protector

Hewlett-Packard устранила 6 уязвимостей в решении HP Data Protector

Эксплуатация ошибок позволяет выполнить произвольный код или вызвать утечку данных.

image

Корпорация Hewlett-Packard выпустила ряд патчей, устраняющих в общей сложности 6 уязвимостей в решении для автоматизации и централизации резервного копирования и восстановления данных HP Data Protector. Эксплуатация ошибок позволяет удаленному неавторизованному пользователю выполнить произвольный код или вызвать утечку данных, одна из них дает возможность осуществить атаку Bar Mitzvah. Четыре проблемы получили низкую степень опасности – 2 балла из 10 по шкале CVSS, одна - 7,5 балла. Уязвимыми являются все версии HP Data Protector до 7.03_108, 8.15 и 9.06 для Windows, HP-UX и Linux.

Успешная эксплуатация первой ошибки CVE-2016-2004 позволяет удаленному неавторизованному пользователю выполнить произвольный код на сервере, где размещается HP Data Protector. Уязвимость вызвана отсутствием авторизации пользователей даже если активирована функция Encrypted Control Communications.

Уязвимые версии HP Data Protector (7,8,9, могут быть затронуты и другие релизы) также содержат закрытый SSL-ключ, единый для всех инсталляций продукта. Эксплуатация данной уязвимости позволит злоумышленнику выполнить произвольный код на сервере или провести атаку «человек посередине» и получить доступ к важным данным.

Известно, что четыре проблемы (CVE-2016-2008, ZDI-CAN-3352, ZDI-CAN-3353 и ZDI-CAN-3354) позволяют атакующему удаленно выполнить произвольный код. Остальные подробности производитель не раскрывает. В корректирующем обновлении также исправлена уязвимость CVE-2015-2808, проэксплуатировав которую злоумышленник мог осуществить атаку Bar Mitzvah и получить доступ к важным данным.

Производитель рекомендует всем пользователям как можно скорее загрузить и установить исправленные версии продукта (7.03_108, 8.15 или 9.06).

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle