根據HPE官網安全公告內容,該公司今年推出的Ezmeral容器平臺,5.0版使用了不安全的方法來處理Keberos密碼,可能導致密碼被駭客攔截或取得,HPE為此釋出HPE Ezmeral 5.1版,以修補編號CVE-2020-7196的漏洞。

HP Enterprise(HPE)上周發布二則安全公告,分別針對容器平臺以及儲存產品修補風險評分達10分的重大漏洞。

首先是編號CVE-2020-7196的漏洞,影響BlueData EPIC軟體平臺及HPE Ezmeral 容器平臺。BlueData EPIC軟體平臺可讓企業容器中部署大數據和機器學習分析環境。而HPE Ezmeral容器平臺則允許企業在資料中心、公雲、私有雲上部署容器應用。

漏洞發生原因,是兩個產品都使用了不安全的方法來處理Keberos密碼,可能導致密碼被駭客攔截或取得。而且兩個產品還不慎在URL (/bdswebui/assignusers/)的來源檔案中,顯示kdc_admin_password 。

這項漏洞CVSS 3.0風險評分高達9.9。受影響的產品版本分別為BlueData EPIC 軟體平臺4.0及之前版本,以及HPE Ezmeral容器平臺5.0。

至於CVE-2020-7197則影響HPE 3PAR儲存管理及報表控制臺StoreServ Management Console (SSMC) 3.7.0.0之前版本。HPE指出,這個軟體為一節點外多層次管理Web App,本漏洞讓遠端駭客得以繞過驗證,儘管HPE指其和代管的儲存陣列資料切開,但這項漏洞風險評分仍然來到CVSS 3.1最高分的10.0。

HPE已經釋出完成修補的BlueData EPIC軟體平臺4.0版及HPE Ezmeral容器平臺5.1版,但BlueData EPIC 4.0需要用戶主動索取,HPE的安全公告頁面呼籲用戶應聯絡HPE人員以修補漏洞。HPE同時也釋出新版HPE 3PAR StoreServ Management Console 3.7.1.1提供用戶下載


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement