Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Múltiples vulnerabilidades en productos HPE y Aruba

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 06/10/2021

Importancia:
Crítica

Recursos afectados:

  • HP 3PAR StoreServ 10000 Storage 3.3.1 MU1 hasta 3.3.1 MU2 P157, o 3.3.1 hasta 3.3.1 MU5 P156, o 3.3.1 MU1 hasta 3.3.2 GA P01 (la vulnerabilidad se introdujo en 3.3.1 MU1).
  • HP 3PAR StoreServ 20000 3.3.1 MU1 hasta 3.3.1 MU2 P157, o 3.3.1 hasta 3.3.1 MU5 P156, o 3.3.1 MU1 hasta 3.3.2 GA P01 (la vulnerabilidad se introdujo en 3.3.1 MU1).
  • HP 3PAR StoreServ 7000 Storage 3.3.1 MU1 hasta 3.3.1 MU2 P157, o 3.3.1 hasta 3.3.1 MU5 P156, o 3.3.1 MU1 hasta 3.3.2 GA P01 (la vulnerabilidad se introdujo en 3.3.1 MU1).
  • HP 3PAR StoreServ 8000 Storage 3.3.1 MU1 hasta 3.3.1 MU2 P157, o 3.3.1 hasta 3.3.1 MU5 P156, o 3.3.1 MU1 hasta 3.3.2 GA P01 (la vulnerabilidad se introdujo en 3.3.1 MU1).
  • HP 3PAR StoreServ 9000 Storage 3.3.1 MU1 hasta 3.3.1 MU2 P157, o 3.3.1 hasta 3.3.1 MU5 P156, o 3.3.1 MU1 hasta 3.3.2 GA P01 (la vulnerabilidad se introdujo en 3.3.1 MU1).
  • HPE Primera 600 Storage 4.0.0 hasta 4.2.8, o 4.0.0 hasta 4.3.3 (la vulnerabilidad fue introducida en 4.0.0).
  • HPE Alletra 9000 9.3.0 hasta 9.3.3, o 9.3.0 hasta 9.4.0 (la vulnerabilidad fue introducida en 9.3.0).
  • Aruba Instant:
    • 6.4.x.x: 6.4.4.8-4.2.4.18 y anteriores;
    • 6.5.x.x: 6.5.4.20 y anteriores;
    • 8.5.x.x: 8.5.0.12 y anteriores;
    • 8.6.x.x: 8.6.0.11 y anteriores;
    • 8.7.x.x: 8.7.1.3 y anteriores;
    • 8.8.x.x: 8.8.0.0 y anteriores.

Descripción:

HPE PSRT (Product Security Response Team), Daniel Jensen, Erik De Jong y Nicholas Starke han reportado 7 vulnerabilidades, 2 de severidad crítica, 3 altas y 2 medias, que podrían permitir a un atacante, remoto y no autenticado, ejecutar código como administrador, desbordamiento de búfer, exponer información sensible, acceso no autorizado a archivos y denegación de servicio (DoS).

Solución:

Actualizar a las versiones detalladas en la sección RESOLUTION de HPESBST04191 y de HPESBNW04201.

Detalle:

  • Un usuario no autenticado podría explotar remotamente esta vulnerabilidad para ejecutar código como administrador, impactando por completo en la confidencialidad, la integridad y la disponibilidad del firmware afectado. Se ha asignado el identificador CVE-2021-26588 para esta vulnerabilidad crítica.
  • Existe una vulnerabilidad de desbordamiento de búfer que podría conducir a la ejecución de código remoto no autenticado mediante el envío de paquetes, especialmente diseñados, destinados al puerto UDP de PAPI (8211). La explotación exitosa de esta vulnerabilidad permitiría ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se ha asignado el identificador CVE-2021-37726 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-37727, CVE-2021-37730, CVE-2021-37732, CVE-2021-37734 y CVE-2021-37735.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, HP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Conversión de tipo incorrecto en OFFIS DCMTK
Múltiples vulnerabilidades en uAMQP de Azure
Cross-Site Scripting en la aplicación Holded
Inyección de comandos en productos Cisco