Alerta de Seguridad No. 21/21: Múltiples vulnerabilidades en productos de Hewlett Packard Enterprise

  • 19/11/2021
  • 244
Alerta de Seguridad No. 21/21: Múltiples vulnerabilidades en productos de Hewlett Packard Enterprise

Hewlett Packard Enterprise (HPE) ha publicado tres vulnerabilidades de severidad crítica y otra de severidad alta que podrían permitir a un atacante remoto descargar o modificar archivos arbitrarios, y causar un desbordamiento de búfer.

Recursos afectados: 

Los siguientes productos que cuentan con versiones de Emulex HBA Manager anteriores a la 12.8.542.31 o versiones de One Command Manager anteriores a la 11.4.425.0:

  • Adaptadores HPE 8Gb PCIe Host Bus:
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric 84E 4P 8Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1100E 16Gb Host Bus:
    • HPE SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1200E 16Gb Fibre Channel Host Bus:
    • HPE SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1600E 32Gb Fibre Channel Host Bus:
    • HPE SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1610E 32Gb Fibre Channel Host Bus:
    • HPE SN1610E 32Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1610E 32Gb 2-port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1700E 64Gb Fibre Channel Host Bus:
    • HPE SN1700E 64Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1700E 64Gb 2-port Fibre Channel Host Bus Adapter.
  • HPE LPe1205A 8Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE LPe1605 16Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE Synergy 3530C 16Gb Fibre Channel Host Bus Adapter,
  • HPE Synergy 5330C 32Gb Fibre Channel Host Bus Adapter.

 

Descripción:

Una vulnerabilidad de tipo desbordamiento de búfer en el comando GetDumpFile podría permitir a un atacante remoto desarrollar varios tipos de ataques. Se ha asignado el identificador CVE-2021-42772 para esta vulnerabilidad crítica.

Vulnerabilidades de tipo desbordamiento de búfer en la función de descarga remota de firmware podrían permitir a un atacante, remoto y no autenticado, añadir o reemplazar un archivo arbitrario en el host remoto, entre otros tipos de ataques. Se han asignado los identificadores CVE-2021-42774 y CVE-2021-42775 para estas vulnerabilidades críticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-42773.

 

Recomendaciones:

Actualizar:

  • Emulex HBA Manager a su versión 8.542.26 u otra posterior, y
  • OneCommand Manager a su versión 4.425.0 u otra posterior.

Otra solución podría ser cambiar el modo de operación de Emulex HBA Manager al modo ‘Strictly Local Management’.

 

Referencias:

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbst04210en_us