HPE исправила ряд уязвимостей в решении HPE vCAS

HPE исправила ряд уязвимостей в решении HPE vCAS

Проблемы содержатся в реализациях lighttpd и OpenSSH.

image

Компания Hewlett Packard Enterprise (HPE) выпустила патчи, исправляющие ряд уязвимостей в решении HPE Remote Device Access: Virtual Customer Access System (vCAS), предназначенном для предоставления удаленной поддержки. Проблемы содержатся в реализациях lighttpd и OpenSSH.

Согласно предупреждению производителя, уязвимость CVE-2015-3200 затрагивает версии lighttpd до 1.4.36. Проблема позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за некорректной проверки подлинности входных данных. Удаленный атакующий может внедрить сторонние данные в лог-файл.

Уязвимости CVE-2016-0777 и CVE-2016-0778 существуют из-за множественных ошибок в OpenSSH и затрагивают все версии до 7.1p2. Проблемы позволяют удаленно раскрыть важные данные и обойти ограничения безопасности.

По словам специалистов HPE, все вышеуказанные уязвимости могут быть проэксплуатированы удаленно. Злоумышленник может вызвать отказ в обслуживании, модифицировать данные или раскрыть важную информацию.

Также доступны отдельные патчи для систем vCAS, работающих на виртуальных машинах Oracle VirtualBox и VMware.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle