США: Hewlett-Packard устранила 6 уязвимостей в решении HP Data Protector

0

Корпорация Hewlett-Packard выпустила ряд патчей, устраняющих в общей сложности 6 уязвимостей в решении для автоматизации и централизации резервного копирования и восстановления данных HP Data Protector. Эксплуатация ошибок позволяет удаленному неавторизованному пользователю выполнить произвольный код или вызвать утечку данных, одна из них дает возможность осуществить атаку Bar Mitzvah. Четыре проблемы получили низкую степень опасности – 2 балла из 10 по шкале CVSS, одна – 7,5 балла. Уязвимыми являются все версии HP Data Protector до 7.03_108, 8.15 и 9.06 для Windows, HP-UX и Linux.

Успешная эксплуатация первой ошибки CVE-2016-2004 позволяет удаленному неавторизованному пользователю выполнить произвольный код на сервере, где размещается HP Data Protector. Уязвимость вызвана отсутствием авторизации пользователей даже если активирована функция Encrypted Control Communications.


Уязвимые версии HP Data Protector (7,8,9, могут быть затронуты и другие релизы) такжесодержат закрытый SSL-ключ, единый для всех инсталляций продукта. Эксплуатация данной уязвимости позволит злоумышленнику выполнить произвольный код на сервере или провести атаку “человек посередине” и получить доступ к важным данным.

Известно, что четыре проблемы (CVE-2016-2008, ZDI-CAN-3352, ZDI-CAN-3353 и ZDI-CAN-3354) позволяют атакующему удаленно выполнить произвольный код. Остальные подробности производитель не раскрывает. В корректирующем обновлении также исправлена уязвимость CVE-2015-2808, проэксплуатировав которую злоумышленник мог осуществить атаку Bar Mitzvah и получить доступ к важным данным. Производитель рекомендует всем пользователям как можно скорее загрузить и установить исправленные версии продукта (7.03_108, 8.15 или 9.06). (HP/NovostIT)