Alertes sur les failles de sécurité des produits Hewlett Packard Enterprise

Trois défauts connexes ont été constatés dans la manipulation du noyau Linux du réseau TCP. La vulnérabilité la plus sérieuse pourrait permettre à un pirate de déclencher à distance une panique du noyau dans les systèmes exécutant le modèle infecté et d’entraver la disponibilité du système. Les problèmes sont désignés par les CVE suivants : 

CVE-2019-11477  : SACK Panic

CVE-2019-11478  : SACK Slowness 

CVE-2019-11479  : Consommation excessive des ressources en raison de faibles valeurs de MSS

Les deux premiers CVE portent sur les paquets d’accusé de réception sélectif (SACK) et sur la taille maximale de segment (MSS) dans le TCP, tandis que le troisième est affecté uniquement par MSS.

L’évaluation de l’impact pour les produits HPE est disponible ici.

De plus amples détails sur HPE Support Center.

Le 14 mai 2019, Intel et d’autres partenaires du secteur ont dévoilé des détails et informations sur un nouveau groupe de vulnérabilités, désignées collectivement par l’expression « échantillonnage des données micro-architecturales (MDS) ».  Ces vulnérabilités de la sécurité des processeurs peuvent entraîner la divulgation d’informations. Intel diffuse des mises à jour du microcode (MCU) pour atténuer ces éventuelles vulnérabilités. Elles sont accompagnées des mises à jour correspondantes du système d’exploitation et du logiciel de l’hyperviseur.

Des informations complémentaires sont disponibles via les CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 et le Comité consultatif sur la sécurité Intel.

L’évaluation de l’impact pour les produits HPE est disponible ici.

De plus amples détails sur HPE Support Center.

Le 23 janvier 2019, Stewart Smith, un chercheur en sécurité, a rendu public un blog décrivant des attaques au niveau des systèmes d’exploitation, visant les composants informatiques sous-jacents, appelés contrôleurs de gestion de la carte mère (BMC). La vulnérabilité a été surnommée « Pantsdown » en raison de l’effet de surprise de l’attaque. CVE-2019-6260 est la réponse à ce problème. L’utilisation de cette technique a également été avérée dans l’attaque dite « Cloudborne », évoquée dans les médias. Les attaques BMC permettaient de flasher à nouveau le micrologiciel de niveau inférieur, de modifier les mots de passe du matériel et de rendre le système inexploitable. Les BMC de fournisseurs tiers concernés sont en cours d’évaluation et des mises à jour seront publiées par HPE.

Pour en savoir plus sur CVE-2019-6260, consultez NIST NVD

L’évaluation de l’impact pour les produits HPE est disponible ici

De plus amples détails sur HPE Support Center

Le 22 août, Apache a communiqué sur la vulnérabilité existant dans Struts, versions 2.3 à 2.3.34 et 2.5 à 2.5.16 qui peuvent pâtir d’une exécution de code à distance, dans le contexte de l’application. Struts 2 est utilisé dans plusieurs produits HPE. Pour en savoir plus sur CVE-2018-11776, Pour en savoir plus sur CVE-2018-11776, consultez le Dictionnaire MITRE CVE et NIST NVD.

L’évaluation de l’impact pour les produits HPE est disponible ici

De plus amples détails sur HPE Support Center

Le 14 août 2018, Intel a divulgué de nouvelles vulnérabilités impactant les processeurs pris en charge sur certaines plateformes HPE. Et si elles sont exploitées à de mauvaises fins, ces vulnérabilités peuvent autoriser la récupération clandestine de données sensibles.

Elles utilisent une méthode de canal latéral d’exécution spéculative appelée Terminal Fault L1 (L1TF) par Intel. Au moment de la divulgation, Intel n’avait pas d’information quant à l’utilisation de L1TF dans des exploitations du monde réel. Un peu plus tôt en 2018, l’entreprise a diffusé des microcodes mis à jour, ensuite mis à disposition par HPE via des mises à jour de ROM système. Ces microcodes mis à jour, lorsqu’ils sont couplés avec les nouvelles mises à jour du système d’exploitation et/ou du logiciel hyperviseur mis à disposition, assurent une réduction de ces vulnérabilités.

Intel a indiqué que pour une partie du marché, principalement un sous-ensemble des systèmes exécutant cette technologie de virtualisation traditionnelle dans les datacenters, il est conseillé de prendre des mesures supplémentaires pour protéger les systèmes. Cette mesure peut consister à activer des fonctions de programmation de cœurs d’hyperviseur spécifiques ou à choisir de désactiver l’hyper-filetage dans des scénarios spécifiques. Veuillez consulter les recommandations des fournisseurs du SE et de l’Hyperviseur.

L’évaluation de l’impact pour les produits HPE est disponible ici

De plus amples détails sur HPE Support Center

Le 21 mai 2018, a été dévoilée une vulnérabilité à l’échelle sectorielle, impliquant des architectures de microprocesseur modernes. Selon une nouvelle étude sur la sécurité, il existe des méthodes d’analyses logicielles qui, lorsqu’elles sont utilisées à des fins malveillantes, ont la capacité de collecter de manière incorrecte des données sensibles provenant des appareils de calcul, qui fonctionnent par ailleurs comme prévu. Cette vulnérabilité est alors connue sous l’appellation Speculative Store Bypass ou Variant 4 (CVE-2018-3639). Malgré ses nombreux points communs avec la récente Méthode d’analyse de canal secondaire ou Spectre et Meltdown, il s’agit bien d’une nouvelle vulnérabilité nécessitant de nouveaux antidotes distincts.

La vulnérabilité Speculative Store Bypass ou Variant 4 impacte les architectures de microprocesseur de multiples fournisseurs de processeurs, y compris Intel, AMD et ARM. Pour traiter cette vulnérabilité, les fournisseurs de systèmes et de logiciel du secteur, et notamment HPE, travaillent ensemble pour développer des stratégies d’atténuation. L’atténuation proposée pour les produits basés sur Intel nécessite des mises à jour du SE, mais aussi de la ROM système, y compris un nouveau microcode Intel. En revanche, l’atténuation destinée aux produits basés sur AMD ne nécessite qu’une mise à jour du SE.

De plus, le 21 mai 2018, une autre vulnérabilité a été dévoilée, appelée Rogue Register Load ou Variant 3A (CVE-2018-3640), qui permet à un assaillant d’accéder clandestinement aux registres du processeur. Cette vulnérabilité impacte uniquement les produits basés sur Intel. Son atténuation nécessite uniquement une mise à jour de la ROM système y compris un nouveau microcode Intel. Le même microcode requis pour atténuer Speculative Store Bypass ou Variant 4 permet également de contrer Rogue Register Load ou Variant 3A.

Les processeurs Itanium Intel ne sont pas exposés aux vulnérabilités Speculative Store Bypass (CVE-2018-3639) ou Rogue Register Load (CVE-2018-3640).

L’évaluation de l’impact pour les produits HPE est disponible ici

De plus amples détails sur HPE Support Center

Le 13 mars 2018, CTS Labs a publiquement divulgué des informations concernant la recherche sur les vulnérabilités de la sécurité impactant certains produits AMD. Concernant les serveurs HPE, les vulnérabilités concernées impactent le processeur AMD (PSP) Secure, utilisé dans le processeur AMD EPYC série 7000 qui équipe les serveurs HPE ProLiant DL385 Gen10 et HPE Cloudline CL3150 Gen10. Aucun autre produit de serveur HPE n’est impacté par ces vulnérabilités potentielles.

HPE travaille avec AMD afin de déterminer l’étendue de la vulnérabilité et les précautions à prendre pour atténuer l’exposition. Heureusement, le nouveau produit HPE DL385 Gen10 dispose des nouvelles fonctionnalités de sécurité HPE, y compris la racine de confiance sur silicium HPE. Cette nouvelle technologie HPE protège contre le déni de service classique ou le rejet permanent des conditions de service pouvant être causés par un élément de cette vulnérabilité.

Nous mettrons à jour nos communications à mesure que HPE, collaborant avec AMD, obtient des informations. Vous pouvez également vous reporter à la déclaration suivante, publiée par AMD le 20 mars.

L’évaluation de l’impact pour les produits HPE est disponible ici

De plus amples détails sur HPE Support Center

Récemment, des vulnérabilités de sécurité de canal latéral (Spectre & Meltdown) impliquant l’exécution spéculative ont été annoncées publiquement. Ces vulnérabilités peuvent impacter les produits HPE indiqués dans la liste, ce qui peut entraîner une divulgation d’informations et une hausse des privilèges. L’atténuation et la résolution de ces vulnérabilités peuvent nécessiter aussi bien la mise à jour du système d’exploitation provenant de son fournisseur, et une mise à jour de la ROM système de HPE. Intel a publié une déclaration initiale de haut niveau ici.

De plus, nous attirons l’attention de nos clients sur une déclaration Intel publiée le 22 janvier 2018 concernant les problèmes associés au correctif du microcode Intel conçu pour remédier à la vulnérabilité d’analyse de canal latéral. Intel recommande que les clients cessent le déploiement des ROM système HPE ProLiant, HPE Synergy, HPE Superdome Flex et HPE Superdome X comprenant le microcode actualisé et reviennent à la précédente version de la ROM système. L’évaluation de ces conséquences, référencée dans le lien ci-dessous, a été mise à jour en conséquence. Pour en savoir plus à ce sujet, reportez-vous au Pack de Directives Client HPE et aux Conseils Client HPE. Veuillez noter que le HPE ProLiant DL385 Gen10 avec la mise à jour du microcode AMD fonctionne correctement et qu’il permet d’atténuer le risque associé à la vulnérabilité d’analyse de canal latéral.

L’évaluation de l’impact pour les produits HPE est disponible ici

Les liens vers les correctifs destinés aux produits HPE affectés sont disponibles ici.

De plus amples détails sur HPE Support Center

Un de nos fournisseurs, Intel, a récemment découvert une potentielle vulnérabilité de sécurité dans son micrologiciel Server Platform Services (SPS). La vulnérabilité de la sécurité a affecté plusieurs de ses architectures de processeur. Néanmoins, les architectures de serveur Intel impactés ne sont pas tous utilisés dans les produits HPE. Plus précisément, le micrologiciel SPS/ME utilisé dans l’architecture d’Intel peut être compromis en utilisant l’accès physique. Par conséquent, le code non authentifié peut être exécuté dans l’environnement SPS sans que l’utilisateur ou l’administrateur du système d’exploitation ne le voie.

Ces vulnérabilités ne sont pas uniques aux serveurs HPE et affecteront tous les systèmes ayant recours à des architectures de processeur identifiées d’Intel avec des révisions de micrologiciel impacté.

Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur

De plus amples détails sur HPE Support Center

Le 16 octobre 2017, les chercheurs en sécurité Mathy Vanhoef et Frank Piessens ont décrit des vulnérabilités dans Wi-Fi Protected Access II (WPA2) dans un article scientifique publié, "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2". Certains trafics protocolaires WPA2 vulnérables peuvent être manipulés pour provoquer une réutilisation nonce et de clé de session, entraînant alors une réinstallation clé par un point d’accès sans fil (PA) ou un client sans fil. Cela permet pour un assaillant ayant à sa portée un PA affecté et un client sans fil d’exécuter un décryptage de paquet arbitraire, une injection de paquet, un piratage de connexion TCP et une injection de contenu HTTP.

Les CVE suivants sont attribués à cette vulnérabilité : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur

De plus amples détails sur HPE Support Center

Le module complémentaire REST Plugin in Apache Struts2 utilise un XStreamHandler avec une instance XStream pour la désérialisation sans aucun type de filtre qui pourrait entraîner l’exécution du code à distance lors de la désérialisation des charges utiles XML. Un assaillant peut utiliser ce défaut pour exécuter le code de manière arbitraire ou mener d’autres attaques.

Pour en savoir plus sur CVE-2017-9805, consultez le dictionnaire MITRE CVE et NIST NVD.

Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur

De plus amples détails sur HPE Support Center

Le 12 mai 2017, une attaque ransomware a été déployée par des protagonistes inconnus contre des clients Microsoft Windows. L’attaque a entraîné le cryptage de PC et serveurs dans le cadre d’une attaque de type ransomware de déni de service. Le 14 mars 2017, Microsoft a publié le correctif MS17-010 afin de remédier à cette vulnérabilité. De plus amples informations sur cette vulnérabilité sont disponibles auprès de Microsoft - MS17-010 et de NVD - CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.

Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur

De plus amples détails sur HPE Support Center

Le 1er mai 2017, Intel a divulgué une nouvelle vulnérabilité dans son Intel Manageability Firmware, qui est utilisé sur certains systèmes contenant des processeurs Intel. Cette vulnérabilité permet à un réseau ou un assaillant local non privilégié de prendre le contrôle des fonctionnalités de gestion à distance des plateformes Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Small Business Technology (SBT). De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2017-5689.

Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur

De plus amples détails sur HPE Support Center

Le 6 mars 2017, Apache a dévoilé une nouvelle vulnérabilité dans Apache Struts 2. La vulnérabilité permet l’exécution de code à distance tout en téléchargeant les fichiers à l’aide de l’analyseur pluripartite Jakarta utilisé dans Apache Struts 2. Cette faille permet à un assaillant d’envoyer une en-tête HTTP de type contenu invalide au sein de la demande de téléchargement de fichier, ce qui pourrait entraîner l’exécution d’un code arbitraire sur le système vulnérable. Lors de l’exploitation, l’assaillant peut récupérer des données critiques et/ou prendre le contrôle du système affecté. De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2017-5638.

Évaluation de l’impact sur le produit HTML

Feuille de calcul de l’évaluation d’impact sur le produit

Informations supplémentaires

Le 19 octobre 2016, une vulnérabilité sur l’escalade des privilèges a été décelée dans le noyau Linux. Une condition de compétition a été détectée dans la manière dont le sous-système de mémoire du noyau Linux a traité la rupture de copy-on-write (COW) des mises en correspondances privées de la mémoire morte. Ce défaut a permis à un utilisateur local sans privilège d’avoir un accès en écriture à des mises en correspondance de mémoire morte et d’obtenir ainsi plus de privilèges sur le noyau Linux. Cette vulnérabilité est appelée « Dirty COW ». De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2016-5195.

Évaluation de l’impact sur le produit HTML

Feuille de calcul de l’évaluation d’impact sur le produit

Informations supplémentaires

Le 15 août 2016, une vulnérabilité appelée « FalseCONNECT » dans l’implémentation de HTTP 407 (authentification proxy requise) a été décelée pour le procédé CONNECT. Étant donné que ces requêtes sont toujours effectuées en texte clair via HTTP, elles sont vulnérables aux attaques de type « man in the middle » qui peuvent être utilisées pour exposer les données de connexion des utilisateurs et, dans certaines implémentations, elles restituent HTML et les scripts dans le client DOM dans un contexte de sécurité. L’injection, ainsi que la falsification des en-têtes d’authentification 407 dans le cadre du procédé CONNECT peuvent rendre l’utilisateur vulnérable à l’hameçonnage ainsi qu’à des attaques de déclassement d’authentification. Vous trouverez plus d’informations sur la vulnérabilité dans CERT VU#905344.

Évaluation de l’impact sur le produit

Informations supplémentaires 

Le 18 juillet 2016, une vulnérabilité dans le traitement de la variable d’environnement HTTP_PROXY par des serveurs web, structures web et langages de programmation exécutés dans des environnements CGI ou semblables à CGI, appelée HTTPoxy, a été décelée. La vulnérabilité provient de l’utilisation d’une entrée, fournie par l’utilisateur, afin de définir la variable d’environnement HTTP_PROXY sans validation suffisante. Cette vulnérabilité pourrait permettre à un attaquant non authentifié à distance de réaliser une attaque de type « man in the middle » (MITM) ou de rediriger le trafic sortant vers un serveur arbitraire, provoquant la divulgation d’informations sensibles. Vous trouverez plus d’informations sur cette vulnérabilité dans CVE-HTTPoxy. 

Évaluation de l’impact sur le produit HTML

Feuille de calcul de l’évaluation d’impact sur le produit

Informations supplémentaires

Le 1er mars 2016, une attaque a été révélée, désignée DROWN : Déchiffrement de RSA à l’aide de chiffrement obsolète et affaibli. Il s’agit d’une attaque inter-protocole qui exploite une vulnérabilité dans SSLv2 pour déchiffrer des sessions collectées de façon passive. De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2016-0800.

Évaluation de l’impact sur le produit 

Informations supplémentaires

Une vulnérabilité affectant les serveurs de nom DNS basés sur ISC BIND a été dévoilée le 28 juillet 2015. Cette vulnérabilité pourrait permettre un déni de service exploitable à distance contre les serveurs de nom exécutant ISC BIND. Vous trouverez plus d’informations sur la vulnérabilité du traitement d’interrogation ISC BIND TKEY dans CVE-2015-5477.

Informations supplémentaires 

Le 16 février 2016, une vulnérabilité de débordement de tampon basé sur la pile dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans la fonction de bibliothèque getaddrinfo() de la glibc. Les applications utilisant cette fonction peuvent être exploitées par les attaquants en réalisant une exécution de code à distance sur l’appareil affecté. Vous trouverez plus d’informations sur la vulnérabilité sur le site web NIST CVE-2015-7547. 

Évaluation de l’impact sur le produit 

Informations supplémentaires

Vue d’ensemble 

Le 6 août 2015, lors de la conférence sur la sécurité Black Hat à Las Vegas, le chercheur en sécurité Christopher Domas a fait une démonstration de l’installation d’un rootkit dans le microprogramme d’un ordinateur de bureau. Christopher Domas a appelé la démonstration un « gouffre de mémoire ». L’attaque a exploité une caractéristique intégrée dans les puces x86 fabriquées depuis le milieu des années 1990 jusqu’à la sortie en 2011 de la série E5-2600 de processeur Intel Xeon (c’est-à-dire Sandy Bridge-EP).

La vulnérabilité existe dans le contrôleur d’interruption programmable avancé (APIC), permettant une attaque contre la zone de mémoire du Mode de gestion de système (SMM) utilisée par le système d’exploitation pour créer une interface avec l’environnement de démarrage comme BIOS, EFI ou UEFI. Un attaquant peut exploiter cette vulnérabilité pour utiliser le mode d’exécution disposant du plus de privilèges et écraser éventuellement les caractéristiques de sécurité dans l’environnement de démarrage. L’exploitation de démonstration utilise les caractéristiques de code UEFI pour installer un rootkit.

Impact Potentiel

HPE a effectué des recherches sur l’impact potentiel de ce problème sur ses produits Enterprise (c’est-à-dire les serveurs, le stockage et la mise en réseau) et a déterminé que les serveurs HPE ProLiant de série Gen8 et Gen9 n’étaient pas vulnérables, car Intel avait précédemment traité ce défaut de conception dans la série E5-2600 du processeur Intel Xeon et les versions suivantes des processeurs pour serveur. Veuillez noter que la série E5-2600 de processeur Intel Xeon est utilisée dans les serveurs ProLiant Gen8. 

En outre, HPE a effectué des recherches sur l’impact potentiel de ce problème sur les serveurs HPE ProLiant de série G5, G6 et G7 et déterminé qu’ils n’étaient pas vulnérables à l’attaque spécifique illustrée par Christopher Domas lors de la conférence sur la sécurité Black Hat. Intel fournit une mise à jour de microcode pour ces serveurs, qui permet d’éviter une faille potentielle de sécurité si l’on tente d’exploiter cette vulnérabilité. Par mesure de sécurité supplémentaire, HPE prévoit de mettre en place ce microcode dans les ProLiant System ROM mis à jour, et de le rendre disponible en téléchargement sur le Centre d’assistance HPE, et ce gratuitement pour les clients.

Que pouvez-vous faire ?

Veuillez vérifier si des mises à jour sont disponibles sur cette page concernant la disponibilité des ROM de système mises à jour pour les serveurs ProLiant de série G5, G6, et G7.

Informations supplémentaires

Le 9 juillet 2015, OpenSSL a décrit un défaut dans la manière dont les chaînes de certificats alternatifs étaient vérifiées. Il ne concerne que les versions de OpenSSL publiées depuis juin 2015 : v1.0.2c, v1.0.2b, v1.0.1o et v1.0.1n. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de contourner certaines vérifications de validation de certificat, permettant d’émettre un certificat invalide. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-1793. 

Informations supplémentaires

Le 13 mai 2105, une vulnérabilité a été dévoilée dans le code de lecteur de disquette virtuel utilisé par de nombreuses plates-formes de virtualisation. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de sortir du mode invité de la machine virtuelle (VM) affectée et d’exécuter éventuellement un code sur l’hôte. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-3456.

Informations supplémentaires

Le 27 janvier 2015, une vulnérabilité de débordement de tampon dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans l’ensemble gethostbyname des fonctions de la bibliothèque GNU C (glibc) et pourrait être utilisé pour exécuter un code arbitraire. Vous trouverez plus d’informations sur la vulnérabilité sur le site web NIST CVE-2015-0235.

Informations supplémentaires

Le 14 octobre 2014, une vulnérabilité dans le protocole SSLv3 a été annoncée. Une exploitation de cette vulnérabilité pourrait permettre à un attaquant de déchiffrer des portions de trafic chiffrées par le biais d’une attaque POODLE (Padding Oracle on Downgraded Legacy Encryption). Vous trouverez plus d’informations sur la vulnérabilité SSLv3 POODLE sur le site web NIST CVE-2014-3556.

Informations supplémentaires

Une récente vulnérabilité Bash affectant les systèmes d’exploitation basés sur Unix, tels que Linux et Mac OS X, a été dévoilée le 24 septembre 2014. Exploiter cette vulnérabilité peut permettre à un attaquant à distance d’exécuter un code arbitraire sur un système affecté. Vous trouverez plus d’informations sur ce problème dans CVE-2014-7169.

Informations supplémentaires