Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
HP StorageWorks Modular Smart Array P2000 G3 avec une version du microgiciel (firmware) antérieure à TS230P008.
Résumé
Des vulnérabilités présentes dans le microgiciel (firmware) du HP StorageWorks Modular Smart Array P2000 G3 ont été corrigées. Ces vulnérabilités permettent à un utilisateur malintentionné de porter atteinte à la confidentialité des données et d'exécuter du code arbitraire à distance.
Description
Des vulnérabilités dans le microgiciel (firmware) du HP StorageWorks Modular Smart Array P2000 G3 permettent à un utilisateur malintentionné de porter atteinte à la confidentialité des données et d'exécuter du code arbitraire à distance :
- certaines entrées de l'interface Web ne sont pas correctement validées et exposent la solution à des attaques de type traversée de répertoires (directory traversal) ;
- un mot de passe par défaut peut-être utilisé pour exécuter des tâches avec les droits administrateur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La version TS230P008 du microgiciel (firmware) corrige le problème.
Documentation
- Bulletin de sécurité HP du 13 janvier 2012 http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03153338
- Référence CVE CVE-2011-4788 https://www.cve.org/CVERecord?id=CVE-2011-4788
