Meldingen over kwetsbaarheden in de beveiliging van producten van Hewlett Packard Enterprise
HPE-productbeveiligingspraktijken
Hewlett Packard Enterprise maakt tijdens het proces van productontwikkeling gebruik van de best practices van de IT-industrie om een sterke focus op veiligheid te garanderen. De technische en productiepraktijken van HPE zijn ontworpen om te voldoen aan de vereisten voor productveiligheid, het intellectueel eigendom van HPE te beschermen en de garantievereisten voor HPE producten te ondersteunen.
Wanneer een nieuwe branchebrede kwetsbaarheid in de beveiliging wordt vrijgegeven, onderzoekt HPE zijn productlijn om de impact te bepalen. Voor getroffen producten worden Beveiligingsbulletins gepubliceerd. Deze bulletins zullen getroffen productversies en de oplossing (patch, upgrade of configuratiewijziging) bevatten.
U kunt zich abonneren om realtime meldingen te ontvangen over de toekomstige HPE-beveiligingsbulletins en adviezen voor uw producten - Abonneren op meldingen voor uw producten.
+ meer weergeven
Meldingen over kwetsbaarheden in de beveiliging van producten
-
Beveiligingslek met UEFI Secure Boot-ontwijking ook bekend als BootHole-kwetsbaarheid (CVE-2020-10713, CVE-2020-15705)
Op 29 juli onthulde een onderzoeker een kwetsbaarheid in Linux GRUB2 bootloaders genaamd “BootHole” (CVE-2020-10713 en CVE-2020-15705). Een systeem is kwetsbaar voor het BootHole-probleem wanneer een ondertekende GRUB2-bootloader met de kwetsbare code mag worden uitgevoerd door de UEFI Allowed Signature Database (DB). De kwetsbaarheid kan ertoe leiden dat het Secure Boot-proces wordt omzeild op systemen waarop Secure Boot is ingeschakeld.
Om deze kwetsbaarheid te voorkomen worden een bijgewerkte GRUB2 en een bijgewerkte Forbidden Signature Database (DBX) beschikbaar gesteld bij de leveranciers van de betreffende besturingssystemen, die op het systeem moeten worden toegepast. Voor de getroffen HPE-producten zullen ook updates beschikbaar zijn die aansluiten bij deze GRUB2- en DBX-updates.
Bovendien wordt er een vergelijkbare kwetsbaarheid genoemd in de BootHole-bekendmaking. HPE is bezig dit probleem, waaraan CVE-2020-7205 is toegewezen, op te lossen.
Hieronder wordt door HPE documentatie verstrekt over de gevolgen voor producten en hoe deze te verhelpen.
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
Ripple20-beveiligingslek - Meerdere beveiligingslekken die de Treck TCP/IP-stack beïnvloeden (meerdere CVE's)
Op 16 juni 2020 maakte JSOF de Ripple20-kwetsbaarheden in de Treck TCP/IP-stack bekend. HPE evalueert in hoeverre elke kwetsbaarheid van toepassing is op producten en zal hierover adviseren als onderdeel van de communicatie over een oplossing.
De CVE's die door HPE worden geëvalueerd zijn CVE-2020-11896, CVE-2020-11897, CVE-2020-11898, CVE-2020-11899, CVE-2020-11900, CVE-2020-11901, CVE-2020-11902, CVE-2020-11903, CVE-2020-11904, CVE-2020-11905, CVE-2020-11906, CVE-2020-11907, CVE-2020-11908, CVE-2020-11909, CVE-2020-11910, CVE-2020-11911, CVE-2020-11912, CVE-2020-11913, CVE-2020-11914.
Intel heeft ook de volgende 4 CVE's gepubliceerd met betrekking tot Ripple20: CVE-2020-0594, CVE-2020-059, CVE-2020-0595, CVE-2020-8674.
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar
Aanvullende informatie in HPE Support Center
HPE blijft dit probleem onderzoeken en de effectbeoordeling voor producten zal worden bijgewerkt naarmate er meer informatie beschikbaar komt.
-
CacheOut-beveiligingslek (CVE-2020-0548 en CVE-2020-0549)
Op 27 januari 2020 berichtte Intel over een beveiligingslek in de microcodesoftware van hun CPU-processor die tot het lekken van informatie kan leiden. De kwetsbaarheid kreeg van de veiligheidsonderzoekers die de problemen ontdekten de naam CacheOut en heeft betrekking op CVE-2020-0548 en CVE-2020-0549. Meer details zijn beschikbaar via de Intel Security Advisory 00329.
Hieronder verstrekt HPE documentatie over de gevolgen voor producten en hoe deze te verhelpen.
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
Plundervolt-beveiligingslek (CVE-2019-11157) in bepaalde HPE-servers die Intel-processors gebruiken
Op 10 december 2019 bracht een groep beveiligingsonderzoekers een paper uit over een aanval met de bijnaam Plundervolt. De aanval is gericht op bepaalde Intel CPU's die een geprivilegieerde toegang gebruiken om de CPU-spanning te wijzigen, waardoor code of gegevens kunnen worden vrijgegeven of gewijzigd die worden beschermd door intel Software Guard Extensions (SGX). Het probleem heeft gevolgen voor bepaalde HPE-servers zoals beschreven in onderstaande links.
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
TPM-FAIL-beveiligingslek (CVE-2019-16863)
In mei 2019 werd ST Micro, een TPM-leverancier (Trusted Platform Module) gecontacteerd door een academisch team, dat een met een ST TPM ontdekte kwetsbaarheid beschreef. Het beveiligingslek betreft de functie voor het genereren van handtekeningen van ECDSA (Elliptic Curve Digital Signature Algorithm) die wordt ondersteund door een geïdentificeerd TPM-product (ST33TPHF2ESPI - Firmware 73.4). De aanval is gebaseerd op metingen van de uitvoering van TPM-commandotiming (CVE-2019-16863).
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
Linux Kernel TCP SACK Panic Remote Denial of Service (CVE-2019-11477, CVE-2019-11478,CVE-2019-11479)
Drie gerelateerde gebreken zijn gevonden bij de verwerking van TCP-netwerken in de Linux-kernel. De grootste kwetsbaarheid kan een externe aanvaller toestaan een kernelpaniek teweeg te brengen in systemen met de getroffen kernel en gevolgen hebben voor de beschikbaarheid van het systeem. Aan de problemen zijn de volgende CVE's toegewezen:
CVE-2019-11477 : SACK paniek
CVE-2019-11478 : SACK traagheid
CVE-2019-11479 : Overtollig resourcegebruik als gevolg van lage MSS-waarden
De eerste twee CVE's zijn gerelateerd aan de Selective Acknowledgement (SACK)-pakketten gecombineerd met de TCP maximale segmentgrootte (MSS), terwijl de derde CVE wordt beïnvloed als gevolg van de maximale segmentgrootte (MSS).
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
Microarchitecturale Data Sampling (ook bekend als MDS, ZombieLoad, RIDL & Fallout)
Op 14 mei 2019 hebben Intel en andere partners in de branche details en informatie bekendgemaakt over een nieuwe groep kwetsbaarheden onder de verzamelnaam Microarchitectural Data Sampling (MDS, microarchitecturale gegevenssampling). Deze kwetsbaarheden in de beveiliging van CPU's kunnen het vrijgeven van informatie mogelijk maken. Intel brengt microcode-updates (MCU) uit om de gevolgen van deze potentiële kwetsbaarheden te beperken. Deze zijn gekoppeld aan overeenkomstige updates van het besturingssysteem en hypervisorsoftware.
Uitgebreide informatie is beschikbaar via CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 en de Intel Security Advisory.
Effectbeoordelingen voor HPE-producten zijn hier beschikbaar.
Aanvullende informatie in HPE Support Center.
-
AMI Aspeed Open BMC Reconfiguration and Security Override, ook bekend als Pantsdown, CVE-2019-6260
Op 23 januari 2019 heeft Stewart Smith, een beveiligingsonderzoeker, een blog gepubliceerd waarin hij melding maakte van aanvallen die op het niveau van het besturingssysteem aanvallen uitvoeren op onderliggende componenten van het computersysteem die Baseband Management Controllers of BMC’s worden genoemd. De kwetsbaarheid kreeg als bijnaam “pantsdown” vanwege de verrassende aard van de aanval. CVE-2019-6260 werd aan deze kwestie toegewezen. Van de aanval werd ook beweerd dat deze werd gebruikt in de zogenaamde 'Cloudborne'-aanval die in de media werd besproken. De BMC-aanvallen kunnen ertoe leiden dat laag niveau-firmware opnieuw wordt geflashed, wachtwoorden voor hardware worden gewijzigd en dat het systeem niet meer kan worden bediend. Op dit moment worden aangetaste BMC’s van externe leveranciers beoordeeld en HPE zal updates ontvangen.
Meer informatie over CVE-2019-6260 vindt u in de NIST NVD
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Aanvullende informatie in HPE Support Center
-
Apache Struts 2 – Remote Code Execution Vulnerability (CVE-2018-11.776)
Op 22 augustus kondigde Apache een kwetsbaarheid aan in de Struts-versies 2.3 tot 2.3.34 en 2.5 tot 2.5.16 die last kunnen hebben van Remote Code Execution in de context van de applicatie. Struts 2 wordt gebruikt verschillende HPE-producten. Ga voor meer informatie over CVE-2018-11776 naar het MITRE CVE Woordenboek en NIST NVD.
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Aanvullende informatie in HPE Support Center
-
L1 Terminal Fault - SGX (CVE-2018-3615), L1 Terminal Fault - OS, SMM (CVE-2018-3620), L1 Terminal Fault - VMM (CVE-2018-3646)
Op 14 augustus 2018 maakte Intel nieuwe kwetsbaarheden bekend die gevolgen hebben voor processors die op bepaalde HPE-platforms worden ondersteund. Wanneer deze kwetsbaarheden met kwaadaardige bedoelingen worden gebruikt, hebben ze het potentieel om het op oneigenlijke wijze verzamelen van gevoelige gegevens mogelijk te maken.
Deze kwetsbaarheden gebruiken een methode met een speculatief zijkanaal voor de uitvoering die door Intel wordt aangeduid als L1 Terminal Fault (L1TF). Op het moment van bekendmaking waren er bij Intel geen meldingen bekend van het daadwerkelijke gebruik van L1TF in aanvallen. Intel had eerder in 2018 bijgewerkte microcodes uitgebracht, die HPE vervolgens beschikbaar heeft gesteld via System ROM-updates. Wanneer deze bijgewerkte microcodes worden gekoppeld aan een nieuwe update van het besturingssysteem en/of de hypervisorsoftware die nu beschikbaar komen, worden de gevolgen van deze kwetsbaarheden beperkt.
Intel heeft meegedeeld dat een deel van de markt, met name een subgroep van degenen die traditionele virtualisatietechnologie gebruiken in datacenters, wordt aangeraden om extra maatregelen te nemen om systemen te beschermen. Dit kan onder meer de inschakeling van specifieke functies voor hypervisor core-planning omvatten of een keus voor de uitschakeling van hyper-threading in specifieke scenario's. Raadpleeg de aanbevelingen van leveranciers van besturingssystemen en hypervisors.
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Aanvullende informatie in HPE Support Center
-
Speculative Store Bypass Variant IV) CVE-2018-3639 & Rogue Register Load (Variant 3a) CVE-2018-3640 kwetsbaarheden
Op 21 mei 2018 werd een sectorbrede kwetsbaarheid bekendgemaakt die betrekking heeft op moderne microprocessorarchitecturen. Uit nieuw beveiligingsonderzoek blijkt dat er software-analysemethoden bestaan die, wanneer ze met kwade bedoelingen worden gebruikt, het potentieel hebben om gevoelige gegevens op oneigenlijke wijze te verzamelen van computerapparatuur die gewoon naar behoren werkt. Op dit moment is deze kwetsbaarheid bekend als Speculatieve Store Bypass of Variant 4 (CVE-2018-3639). Hoewel dit beveiligingslek veel overeenkomsten heeft met de recent vrijgegeven Side-Channel Analysis Method of Spectre en Meltdown, is dit een nieuwe kwetsbaarheid die nieuwe en unieke beperkende maatregelen vereist.
De Speculatieve Store Bypass of Variant 4 kwetsbaarheid heeft gevolgen voor microprocessorarchitecturen van meerdere CPU-leveranciers, waaronder Intel, AMD en ARM. Om deze kwetsbaarheid op te lossen hebben hardware- en softwareleveranciers uit de hele industrie, waaronder HPE, samengewerkt om risicobeperkende strategieën te ontwikkelen. Voor de risicobeperking van Intel-producten zijn zowel besturingssyteemupdates als System ROM-updates vereist, waaronder een nieuwe Intel-microcode. Voor de risicobeperking van AMD-producten is alleen een update van het besturingssysteem vereist.
Bovendien werd op 21 mei 2018 een andere kwetsbaarheid bekendgemaakt, Rogue Register Load of Variant 3A (CVE-2018-3640) genoemd, die een aanvaller ongewenste toegang tot processorregisters toestaat. Deze kwetsbaarheid heeft alleen gevolgen voor Intel-producten. Om de risico’s van deze kwetsbaarheid te beperken is alleen een System ROM-update vereist, waaronder een nieuwe Intel-microcode. Dezelfde microcode die is vereist voor de risicobeperking van de Speculatieve Store Bypass of Variant 4 zal ook de risico’s van Rogue Register Load of Variant 3A inperken.
Intel Itanium-processors worden niet blootgesteld aan de kwetsbaarheden van Speculative Store Bypass (CVE-2018-3639) of Rogue Register Load (CVE-2018-3640).
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Aanvullende informatie in HPE Support Center
-
Kwetsbaarheden in AMD-processor (Fallout / Masterkey / Ryzenfall / Chimera)
Op 13 maart 2018 gaf CTS Labs publiekelijk informatie vrij met betrekking tot het onderzoek naar kwetsbaarheden in de beveiliging die invloed hadden op sommige AMD-producten. Wat betreft HPE-servers hebben de desbetreffende kwetsbaarheden gevolgen voor de AMD Secure Processor (PSP) die wordt gebruikt in de processor uit de AMD EPYC 7000-serie die wordt gebruikt in de HPE ProLiant DL385 Gen10- en HPE Cloudline CL3150 Gen10-servers. Deze potentiële kwetsbaarheden hebben geen gevolgen voor andere HPE serverproducten.
HPE werkt samen met AMD om de omvang van het probleem te bepalen en om te zien welke voorzorgsmaatregelen nodig zijn om blootstelling te beperken. Gelukkig wordt het nieuwe HPE DL385 Gen10-product geleverd met alle nieuwe HPE-beveiligingsfuncties, waaronder de HPE Silicon Root of Trust. Deze nieuwe HPE-technologie beschermt tegen de meest voorkomende situaties van 'denial of service' of 'permanent denial of service' die kunnen worden veroorzaakt door een deel van deze kwetsbaarheid.
Als HPE uit de samenwerking met AMD meer informatie krijgt, zullen we onze berichtgeving bijwerken. Raadpleeg daarnaast de volgende door AMD op 20 maart gepubliceerde verklaring.
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Aanvullende informatie in HPE Support Center
-
Side Channel Analysis Method (Spectre & Meltdown), staat vrijgeven van informatie in microprocessors toe (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
Onlangs werden kwetsbaarheden in de beveiliging van een zijkanaal (Spectre & Meltdown) bekendgemaakt, waarbij speculatieve uitvoering werd gebruikt. Deze kwetsbaarheden kunnen invloed hebben op de vermelde HPE-producten, wat kan leiden tot het vrijgeven van informatie en privilege-escalatie. Risicobeperking en oplossing van deze kwetsbaarheden kunnen zowel een besturingssysteemupdate, geleverd door de OS-leverancier, als een systeem ROM-update van HPE omvatten. Intel gaf hier een eerste verklaring op hoog niveau.
Daarnaast wijzen we onze klanten op een verklaring van Intel die werd gepubliceerd op 22 januari 2018 over problemen met de Intel microcode-patch die was ontworpen om de kwetsbaarheid in de Side-Channel Analysis aan te pakken. Intel raadt klanten aan te stoppen met het installeren van de System ROM’s met de bijgewerkte microcode op de HPE ProLiant, HPE Synergy, HPE Superdome Flex en HPE Superdome X en terug te gaan naar de vorige versie van System ROM. De hieronder gelinkte effectbeoordeling is dienovereenkomstig bijgewerkt. Raadpleeg de HPE Customer Guidance Pack en HPE Customer Advisory voor meer informatie over dit probleem. NB. De HPE ProLiant DL385 Gen10 met de AMD microcode-update werkt zoals ontworpen en heeft de risico’s in verband met de Side-Channel Analysis-kwetsbaarheid beperkt.
De effectbeoordeling voor HPE-producten is hier beschikbaar.
Links naar patches voor getroffen HPE producten zijn hier beschikbaar
Aanvullende informatie in HPE Support Center
-
Intel Management Engine (ME) en Server Platform Services (SPS) kwetsbaarheid in de firmwarebeveiliging (CVE-2017-5706 / CVE-2017-5709)
Onlangs heeft een van onze leveranciers, Intel, een potentiële kwetsbaarheid in de beveiliging ontdekt in de Server Platform Services (SPS) firmware. De kwetsbaarheid tastte verscheidene van Intel’s processorarchitecturen aan; niet alle aangetaste Intel-serverprocessorarchitecturen worden echter gebruikt in HPE-producten. Met name de SPS/ME firmware die wordt gebruikt in de Intel-architectuur kan worden aangetast bij fysieke toegang. Daardoor kan niet-geverifieerde code worden uitgevoerd in de SPS-omgeving buiten het zicht van de gebruiker en de beheerder van het besturingssysteem.
Deze kwetsbaarheden zijn niet uniek voor HPE servers en zullen geen invloed hebben op systemen met de door Intel vastgestelde processorarchitecturen met getroffen firmwareversies.
Effectbeoordelingen voor HPE-producten als HTML of spreadsheet
Aanvullende informatie in HPE Support Center
-
Aanvallen bij herinstallatie van WPA2-key (ook bekend als "Krack Attack ")
Op 16 oktober 2017 beschreven beveiligingsonderzoekers Mathy Vanhoef en Frank Piessens kwetsbaarheden in de Wi-Fi Protected Access II (WPA2) via de publicatie van een onderzoekspaper, "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2". Bepaald kwetsbaar WPA2 handshakeverkeer kan zo worden gemanipuleerd dat de nonce en sessiecode opnieuw gebruikt moeten worden, met als gevolg de herinstallatie van de key door een draadloos toegangspunt (AP) of draadloze client. Dit zorgt ervoor dat een aanvaller die zich binnen het bereik van een getroffen AP en draadloze cliënt bevindt, willekeurige pakketdecryptie, pakketinjectie, kaping van de TCP-verbinding en injectie van HTTP-inhoud kan uitvoeren.
Aan deze kwetsbaarheid zijn de volgende CVE's toegewezen: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
Effectbeoordelingen voor HPE-producten als HTML of spreadsheet
Aanvullende informatie in HPE Support Center
-
Apache Struts 2 kwetsbaarheid - (CVE-2017-9805)
De REST-plugin in Apache Struts2 gebruikt een XStreamHandler met een instantie van XStream voor deserialisatie zonder enige vorm van filtering, wat zou kunnen leiden tot uitvoering van externe code bij deserialisatie van XML-payloads. Een aanvaller kan dit lek gebruiken om willekeurige code uit te voeren of om verdere aanvallen uit te voeren.
Ga voor meer informatie over CVE-2017-9805 naar het MITRE CVE woordenboek en NIST NVD.
Effectbeoordelingen voor HPE-producten als HTML of spreadsheet
Aanvullende informatie in HPE Support Center
-
Microsoft Windows WCry/WannaCry Ransomware MS17-010 kwetsbaarheid (CVE-2017-0143 - CVE-2017-0148)
Op 12 mei 2017 werd een aanval met ransomware ingezet door onbekende daders tegen klanten van Microsoft Windows. Door de aanval werden pc's en servers versleuteld als onderdeel van een soort ransomware Denial of Service-aanval. Op 14 maart 2017 bracht Microsoft MS17-010 uit, een patch die de kwetsbaarheid aanpakt. Aanvullende informatie over deze kwetsbaarheid is beschikbaar in Microsoft - MS17-010 en in NVD - CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.
Effectbeoordelingen voor HPE-producten als HTML of spreadsheet
Aanvullende informatie in HPE Support Center
-
Intel AMT kwetsbaarheid in privilege-escalatie - CVE-2017-5689
Op 1 mei 2017 maakte Intel een nieuwe kwetsbaarheid bekend in zijn Intel Manageability Firmware, die wordt gebruikt op sommige systemen met Intel-processors. Deze kwetsbaarheid kan een onbevoegd netwerk of lokale aanvaller toestaan controle te krijgen over de remote beheerfuncties van Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) en Intel Small Business Technology (SBT) platforms. Aanvullende informatie over dit beveiligingslek is te vinden op CVE-2017-5689.
Effectbeoordelingen voor HPE-producten als HTML of spreadsheet
Aanvullende informatie in HPE Support Center
-
Apache Struts 2 kwetsbaarheid - CVE-2017-5638
Op 6 maart 2017 maakte Apache een nieuwe kwetsbaarheid in Apache Struts 2 bekend. De kwetsbaarheid maakt de uitvoering van remote code mogelijk bij het uploaden van bestanden via de Jakarta multipart parser die wordt gebruikt in Apache Struts 2. Door dit lek kan een aanvaller ongeldige content-type HTTP header verzenden als onderdeel van het bestanduploadverzoek, wat kan leiden tot het uitvoeren van willekeurige code op het kwetsbare systeem. Als het wordt benut, kan de aanvaller kritische gegevens stelen en/of de controle krijgen over het getroffen systeem. Aanvullende informatie over dit beveiligingslek is te vinden op CVE-2017-5638.
-
Kwetsbaarheid in privilege-escalatie in de Linux Kernel (“Dirty COW”)
Op 19 oktober 2016 werd een kwetsbaarheid voor priviliege-escalatie in Linux kernel bekendgemaakt. Er was een race-conditie gevonden in een manier waarop het geheugensubsysteem van de Linux-kernel de copy-on-write (COW) breakage van private alleen-lezen geheugentoewijzingen verwerkt. Door dit lek kan een onbevoegde lokale gebruiker schrijftoegang krijgen tot alleen-lezen geheugentoewijzingen en daardoor hogere privileges krijgen op de Linux kernel. Deze kwetsbaarheid wordt aangeduid als “Dirty COW”. Aanvullende informatie over dit beveiligingslek is te vinden op CVE-2016-5195.
-
HTTP_PROXY kwetsbaarheid in verwerking omgevingsvariabele ("FalseCONNECT")
Op 15 augustus 2016 werd een kwetsbaarheid bij de uitvoering van HTTP 407 (proxy-authenticatie vereist) voor de CONNECT-methode bekendgemaakt, die wordt aangeduid als “FalseCONNECT”. Aangezien deze verzoeken altijd in platte tekst via HTTP worden gemaakt, zijn ze gevoelig voor man-in-the-middle-aanvallen die kunnen worden ingezet om gebruikersgegevens bloot te leggen. In sommige implementaties kunnen ze HTML en scripts in de client DOM binnen een beveiligingscontext weergeven. Door de injectie en de manipulatie van 407 verificatieheaders in de context van de CONNECT werkwijze kan een gebruiker voorwerp worden van phishing en authenticatie van downgrade-aanvallen. Aanvullende informatie over het beveiligingslek is te vinden op CERT VU#905344.
-
Kwetsbaarheid CGI-toepassing ("HTTPoxy") voor PHP, Go, Python en andere
Op 18 juli 2016 werd een kwetsbaarheid bekendgemaakt in de verwerking van HTTP_PROXY omgevingsvariabele door webservers, frameworks en programmeertalen die worden uitgevoerd in CGI of CGI-achtige omgevingen, aangeduid als HTTPoxy. De kwetsbaarheid vloeit voort uit gebruik van door de gebruiker geleverde invoer om de HTTP_PROXY omgevingsvariabele in te stellen zonder voldoende validatie. Deze kwetsbaarheid kan een niet-geverifieerde, externe aanvaller toestaan een man-in-the-middle-aanval (MITM) uit te voeren en uitgaand verkeer naar een willekeurige server te leiden wat openbaarmaking van gevoelige gegevens kan veroorzaken. Aanvullende informatie over dit beveiligingslek is te vinden op CVE-HTTPoxy.
-
Protocoloverschrijdende aanval op TLS met SSLv2 (DROWN) - CVE-2016-0800
Op 1 maart 2016 werd een nieuwe aanval vrijgegeven die wordt aangeduid als DROWN–Decrypting RSA met verouderde en verzwakte encryptie. Dit is een protocoloverschrijdende aanval die een kwetsbaarheid in SSLv2 exploiteert om passief verzamelde TLS-sessies te decoderen. Aanvullende informatie over de kwetsbaarheid is beschikbaar op CVE-2016-0800.
-
Stack-Based Buffer Overflow in Glibc's Getaddrinfo()
Een kwetsbaarheid die DNS-naamservers op basis van ISC BIND aantast werd aangekondigd op 28 juli 2015. Deze kwetsbaarheid stond een extern te gebruiken Denial of Service toe tegen naamservers waarop ISC BIND wordt uitgevoerd. Aanvullende informatie over de kwetsbaarheid bij ISC BIND TKEY query-verwerking is te vinden op CVE-2015-5477.
-
Intel-processor kwetsbaarheid in de beveiliging (ook bekend als “Memory Sinkhole”)
Op 16 februari 2016 werd een kwetsbaarheid in stack-gebaseerde bufferoverloop in de GNU C bibliotheek (glibc) bekendgemaakt. De fout werd ontdekt in de getaddrinfo() bibliotheekfunctie van de glibc. Applicaties die deze functie gebruiken kunnen worden gebruikt door aanvallers door het uitvoeren van externe code op het getroffen apparaat. Aanvullende informatie over de kwetsbaarheid is beschikbaar op de NIST-website CVE-2015-7547.
-
ISC BIND TKEY kwetsbaarheid queryverwerking - CVE-2015-5477
Overzicht
Op 6 augustus 2015 demonstreerde beveiligingsonderzoeker Christopher Domas op de Black Hat beveiligingsconferentie in Las Vegas het installeren van een rootkit in de firmware van een pc. Domas gaf de demonstratie als bijnaam “memory sinkhole'. Bij de aanval werd gebruikgemaakt van een ingebouwde functie in x86-chips die werden geproduceerd sinds het midden van de jaren 90 tot de release in 2011 van de Intel Xeon-processor E5-2600-serie (d.w.z. Sandy Bridge-EP).
De kwetsbaarheid bestaat in de Advanced Programmable Interrupt Controller (APIC), waardoor een aanval op het geheugengebied van de System Management Mode (SMM), die wordt gebruikt door het besturingssysteem om te communiceren met de bootomgeving zoals BIOS, EFI of UEFI, kan worden uitgevoerd. Een aanvaller kan deze kwetsbaarheid misbruiken om de meest geprivilegieerde uitvoeringsmodus te gebruiken en potentieel beveiligde functies in de bootomgeving te overschrijven. De demonstratie maakt gebruik van de UEFI-code functies om een rootkit te installeren.
Potentiële impact
HPE heeft de mogelijke gevolgen van deze kwestie op onze Enterprise-producten (d.w.z. servers, storage en netwerken) onderzocht en heeft vastgesteld vast dat servers uit de HPE ProLiant Gen8- en Gen9-serie niet kwetsbaar zijn, aangezien Intel deze ontwerpfout heeft aangepakt in de Intel Xeon processor E5 2600-series en latere modellen van serverprocessors. NB. Intel Xeon processor E5-2600-series worden gebruikt in ProLiant Gen8-servers.
Daarnaast heeft HPE de mogelijke gevolgen van deze kwestie onderzocht voor servers uit de HPE ProLiant G5, G6 en G7-serie en vastgesteld dat deze niet kwetsbaar zijn voor de specifieke aanval die werd gedemonstreerd door Christopher Domas op de Black Hat-beveiligingsconferentie. Intel levert een microcode-update voor deze servers, waarmee een mogelijke inbreuk op de beveiliging wordt voorkomen als er een poging wordt gedaan om deze kwetsbaarheid te misbruiken. Als extra veiligheidsmaatregel is HPE van plan om deze microcode te implementeren in bijgewerkte ProLiant System ROM’s, die beschikbaar zullen komen voor download op HPE Support Center zonder kosten voor de klant.
Wat kunt u doen?
Controleer deze pagina regelmatig voor updates over de beschikbaarheid van bijgewerkte System ROM’s voor servers uit de ProLiant G5, G6 en G7-serie.
-
OpenSSL kwetsbaarheid vervalsing Alternative Chains Certificate
Op 9 juli 2015 maakte OpenSSL een fout bekend in de manier waarop alternatieve certificaatketens worden geverifieerd. Dit heeft alleen invloed op versies van OpenSSL die zijn uitgebracht sinds juni 2015: v1.0.2c, v1.0.2b, v1.0.1o en v1.0.1n. Misbruik van dit beveiligingslek kan een aanvaller toestaan bepaalde validatiecontroles van het certificaat te omzeilen, zodat hij een ongeldig certificaat kan afgeven. Aanvullende informatie over de VENOM-kwetsbaarheid is beschikbaar op de NIST-website CVE-2015-1793.
-
VENOM kwetsbaarheid - CVE-2015-3456
Op 13 mei 2015 werd een kwetsbaarheid aangekondigd in de virtuele floppy drive code die wordt gebruikt door een groot aantal virtualisatieplatformen. Misbruik van dit beveiligingslek kan een aanvaller toestaan te ontsnappen aan de getroffen Virtual Machine (VM) gast en potentieel code uit te voeren op de host. Aanvullende informatie over de VENOM-kwetsbaarheid is beschikbaar op de NIST-website CVE-2015-3456.
-
Glibc “GHOST" kwetsbaarheid
Op 27 januari 2015 werd een kwetsbaarheid in bufferoverloop in GNU C bibliotheek (glibc) bekendgemaakt. De fout werd ontdekt in de reeks gethostbyname-functies van de GNU C bibliotheek (glibc) en kan worden gebruikt om willekeurige code uit te voeren. Aanvullende informatie over de kwetsbaarheid is beschikbaar op NIST-website CVE-2015-0235.
-
SSLv3 POODLE kwetsbaarheid - CVE-2014-3566
Op 14 oktober 2014 werd een kwetsbaarheid in het SSLv3-protocol vrijgegeven. Misbruik van dit beveiligingslek kan een aanvaller toestaan delen van versleuteld verkeer te decoderen via een POODLE (Padding Oracle Gedegradeerde Legacy Encryption) aanval. Aanvullende informatie over SSLv3 POODLE-kwetsbaarheid is beschikbaar op NIST-website CVE-2014-3566.
-
GNU Bourne Again Shell (Bash) ‘Shellshock’ kwetsbaarheid
Een recente Bash-kwetsbaarheid die van invloed is op Unix-besturingssystemen, zoals Linux en Mac OS X, werd aangekondigd op 24 september 2014. Misbruik van dit beveiligingslek kan een externe aanvaller toestaan willekeurige code uit te voeren op een systeem. Meer informatie over dit probleem is te vinden op CVE-2014-7169.
-
OpenSSL “Heartbleed" kwetsbaarheid
Op 8 april 2014 werd HP op de hoogte gebracht van een OpenSSL-kwetsbaarheid CVE-2014-0160 (nu bekend als "Heartbleed"). Aan deze kwetsbaarheid is veel aandacht besteed in de media. Zie het deel resources voor de link naar de National Vulnerability Database waar deze kwetsbaarheid uitvoerig wordt beschreven. OpenSSL wordt gebruikt in sommige HP-producten om versleuteling en SSL-diensten te leveren.
Productondersteuning
Technische productondersteuning is beschikbaar in het HPE Support Center.
HPE Services voor beveiliging- en digitale bescherming