HP Enterprise(HPE)上周发布二则安全公告,分别针对容器平台以及存储产品修补风险评分达10分的重大漏洞。
首先是编号CVE-2020-7196的漏洞,影响BlueData EPIC软件平台及HPE Ezmeral容器平台。BlueData EPIC软件平台可让企业容器中部署大数据和机器学习分析环境。而HPE Ezmeral容器平台则允许企业在数据中心、公有云、私有云上部署容器应用。
漏洞发生原因,是两个产品都使用了不安全的方法来处理Keberos密码,可能导致密码被黑客拦截或取得。而且两个产品还不慎在URL (/bdswebui/assignusers/)的来源文件中,显示kdc_admin_password。
这项漏洞CVSS 3.0风险评分高达9.9。受影响的产品版本分别为BlueData EPIC软件平台4.0及之前版本,以及HPE Ezmeral容器平台5.0。
至于CVE-2020-7197则影响HPE 3PAR存储管理及报表控制台StoreServ Management Console (SSMC) 3.7.0.0之前版本。HPE指出,这个软件为一节点外多层次管理Web App,本漏洞让远程黑客得以绕过验证,尽管HPE指其和托管的存储数组资料切开,但这项漏洞风险评分仍然来到CVSS 3.1最高分的10.0。
HPE已经发布完成修补的BlueData EPIC软件平台4.0版及HPE Ezmeral容器平台5.1版,但BlueData EPIC 4.0需要用户主动获取,HPE的安全公告页面呼吁用户应联系HPE人员以修补漏洞。HPE同时也发布新版HPE 3PAR StoreServ Management Console 3.7.1.1提供用户下载。