[English]Hewlett Packard Enterprise (HPE) hat einen Sicherheitshinweise herausgegeben. Im HPE Systems Insight Manager (SIM) gibt es eine kritische Schwachstelle (0-Day-Bug), der sich auf die Linux- und Windows-Versionen auswirkt.
Anzeige
Ich bin kürzlich bei den Kollegen von Bleeping Computer auf diesen Tweet aufmerksam geworden, die auf die 0-Day-Schwachstelle in der HPE Server Management-Software hinweisen.
HPE SIM ist eine Automatisierungslösung für Management und Remote-Support für mehrere HPE Server, Speicher- und Netzwerkprodukte, einschließlich, aber nicht beschränkt auf HPE ProLiant Gen10 und HPE ProLiant Gen9 Server. In den neuesten Versionen des HPE Systems Insight Manager (SIM) für Windows und Linux gibt es einen Zero-Day-Bug. Die unter CVE-2020-7200 registrierte Schwachstelle betrifft den betrifft HPE Systems Insight Manager (SIM) 7.6.x.
Die RCE-Schwachstelle wurde von Harrison Neal über die Zero Day Initiative von Trend Micro gemeldet und wird von HPE als kritisch eingestuft. CVE-2020-7200 ermöglicht es Angreifern ohne Privilegien Angriffe mit geringer Komplexität auszuführen, die keine Benutzerinteraktion erfordern. Die Schwachstelle resultiert aus dem Fehlen einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten. Das kann zur Deserialisierung nicht vertrauenswürdiger Daten führen. Einem Angreifer ermöglicht dies, die Schwachstelle auszunutzen, um Code auf Servern auszuführen, auf denen die anfällige Software-Version läuft.
Anzeige
0-Day bedeutet, dass es noch keine Sicherheitsupdates für diese Remote Code Execution (RCE). HPE hat in dem Sicherheitshinweis nicht bekannt gegeben, ob der Zero-Day-Bug auch in freier Wildbahn ausgenutzt wird. HPE hat in diesem Sicherheitshinweis Informationen zur Abschwächung von Windows bereitgestellt und arbeitet an der Behebung des Zero-Days.
Anzeige