در نرم‌افزار OneView شرکت HP، سه نقص امنیتی شناسایی شده‌اند که ممکن است از راه دور برای دور زدن احراز هویت، افشای اطلاعات حساس و حملات انکار سرویس مورد سوء استفاده قرار گیرند.

HPE OneView یک نرم افزار مدیریت زیرساخت فناوری اطلاعات به صورت یکپارچه است که عملیات فناوری اطلاعات را خودکار می‌کند و مدیریت زیرساخت از جمله محاسبات، ذخیره سازی و شبکه را ساده می‌کند.
آسیب پذیری‌های فاش شده با شماره‌های زیر ثبت شده‌اند:

  • CVE-2023-30908 – دور زدن احراز هویت از راه دور
  • CVE-2023-2650 – انکار سرویس

CVE-2023-30908 – انحراف از احراز هویت از راه دور
در این آسیب‌پذیری با امتیاز CVSS 9.8، حمله‌کننده می‌تواند از طریق دور زدن احراز هویت به دسترسی غیرمجاز به HPE OneView دست پیدا کند. این آسیب‌پذیری به دلیل نحوه مدیریت اطلاعات اعتبار کاربران در HPE OneView ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.
CVE-2023-2650 – انکار سرویس
حمله‌کننده از راه دور ممکن است از این آسیب‌پذیری به منظور انجام حمله انکار سرویس روی HPE OneView بهره‌برداری کند. این آسیب‌پذیری به دلیل نحوه OpenSSL در دستور OBJ_obj2txt() ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر
HPE OneView – قبل از نسخه v8.5 و v6.60.05 patch

 رفع مشکل
برای رفع این آسیب‌پذیری‌ها در نرم‌افزار Hewlett Packard Enterprise OneView نسخه‌های 8.5 به بالا و نسخه 6.60.05 LTS، HPE از به‌روزرسانی نرم‌افزار زیر استفاده کرده است.

  • Hewlett Packard Enterprise OneView v8.5 یا نسخه‌های بالاتر
  • Hewlett Packard Enterprise OneView v6.60.05 LTS

HPE پچ‌های رفع مشکلات برای نسخه‌های تحت تأثیر HPE OneView منتشر کرده است. برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری‌ها، کاربران باید به‌روزرسانی‌ها را اعمال کنند.

منبع خبر:

https://cybersecuritynews.com/hpe-oneview-vulnerability/

بیشتر بخوانید