Múltiples vulnerabilidades en productos de HPE

Fecha de publicación: 18/11/2021

Importancia:
Crítica

Recursos afectados:

Los siguientes productos que cuentan con versiones de Emulex HBA Manager anteriores a la 12.8.542.31 o versiones de One Command Manager anteriores a la 11.4.425.0:

  • Adaptadores HPE 8Gb PCIe Host Bus:
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric 84E 4P 8Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1100E 16Gb Host Bus:
    • HPE SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1200E 16Gb Fibre Channel Host Bus:
    • HPE SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1600E 32Gb Fibre Channel Host Bus:
    • HPE SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1610E 32Gb Fibre Channel Host Bus:
    • HPE SN1610E 32Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1610E 32Gb 2-port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1700E 64Gb Fibre Channel Host Bus:
    • HPE SN1700E 64Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1700E 64Gb 2-port Fibre Channel Host Bus Adapter.
  • HPE LPe1205A 8Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE LPe1605 16Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE Synergy 3530C 16Gb Fibre Channel Host Bus Adapter,
  • HPE Synergy 5330C 32Gb Fibre Channel Host Bus Adapter.

Descripción:

HPE ha publicado tres vulnerabilidades de severidad crítica y otra de severidad alta que podrían permitir a un atacante remoto descargar o modificar archivos arbitrarios, y causar un desbordamiento de búfer.

Solución:

Actualizar:

  • Emulex HBA Manager a su versión 8.542.26 u otra posterior, y
  • OneCommand Manager a su versión 4.425.0 u otra posterior.

Otra solución podría ser cambiar el modo de operación de Emulex HBA Manager al modo ‘Strictly Local Management’.

Detalle:

  • Una vulnerabilidad de tipo desbordamiento de búfer en el comando GetDumpFile podría permitir a un atacante remoto desarrollar varios tipos de ataques. Se ha asignado el identificador CVE-2021-42772 para esta vulnerabilidad crítica.
  • Vulnerabilidades de tipo desbordamiento de búfer en la función de descarga remota de firmware podrían permitir a un atacante, remoto y no autenticado, añadir o reemplazar un archivo arbitrario en el host remoto, entre otros tipos de ataques. Se han asignado los identificadores CVE-2021-42774 y CVE-2021-42775 para estas vulnerabilidades críticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-42773.

Encuesta valoración

Etiquetas:
Actualización, HP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.