Alertes sur les failles de sécurité des produits Hewlett Packard Enterprise
Pratiques de sécurité sur les produits HPE
Hewlett Packard Enterprise intègre les meilleures pratiques du secteur informatique durant le cycle de développement de ses produits afin de leur garantir une sécurité accrue. Les pratiques HPE en matière d’ingénierie et de production sont conçues pour répondre aux exigences des produits, protéger la propriété intellectuelle de HPE et assurer les conditions de garantie des produits HPE.
Si une faille de sécurité est découverte à l’échelle du secteur d’activité, HPE examine scrupuleusement sa chaîne de produits afin d’en déterminer l’impact. Des bulletins de sécurité sont publiés pour les produits affectés. Ces bulletins contiennent les versions des produits concernés et leur résolution (patch, mise à niveau ou modification de configuration).
Vous pouvez vous abonner pour recevoir des notifications en temps réel sur les bulletins de sécurité HPE, et des conseils sur vos produits. Si vous souhaitez vous abonner, cliquez ici.
+ afficher plus
Alertes sur les failles de sécurité des produits
-
Code d’exécution à distance HPE Systems Insight Manager (SIM) (CVE-2020-7200)
Le 15 décembre 2020, HPE a adressé à ses clients un bulletin de sécurité les informant d’une vulnérabilité critique concernant l’exécution de code à distance dans HPE Systems Insight Manager (SIM) exécuté sur Windows ou Linux. Cette vulnérabilité a été signalée par Harrison Neal en collaboration avec Trend Micro Zero Day Initiative pour HPE. HPE a indiqué une solution de contournement ou une procédure d’atténuation manuelle à mettre en œuvre dans tous les systèmes qui exécutent HPE SIM.
Pour plus d’informations, consultez le Bulletin de sécurité HPE.
-
Vulnérabilité permettant un contournement du lancement sécurisé de l’UEFI, également connue sous le nom de vulnérabilité BootHole (CVE-2020-10713, CVE-2020-15705)
Le 29 juillet, un chercheur a dévoilé une vulnérabilité dans les chargeurs d’amorçage (bootloader) Linux GRUB2, appelée « BootHole » (CVE-2020-10713 et CVE-2020-15705). Un système est exposé à la vulnérabilité BootHole lorsqu’un chargeur d’amorçage GRUB2 comprenant le code vulnérable est autorisé à s’exécuter par la base de signatures approuvées UEFI (DB). La vulnérabilité peut générer un contournement du processus de lancement sécurisé sur les systèmes où il est activé.
Afin d’éviter cette vulnérabilité, les fournisseurs de systèmes d’exploitation concernés ont mis à disposition des mises à jour du GRUB2 et de la base de signatures interdites (DBX) à appliquer au système. Les produits HPE impactés seront également actualisés afin d’intégrer les mises à jour du GRUB2 et de la DBX.
Par ailleurs, la publication BootHole fait état d’une vulnérabilité similaire, prise en charge par HPE sous la référence CVE-2020-7205.
HPE fournira une documentation concernant l'impact sur ses produits et leur résolution, rapportés ci-après.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour en savoir plus, contactez le Centre de support HPE.
-
Vulnérabilité Ripple20 - Vulnérabilités multiples affectant la stack TCP/IP de Treck (CVE multiples)
Le 16 juin 2020, JSOF a divulgué les vulnérabilités Ripple20 dans le stack TCP/IP de Treck. HPE évalue chaque vulnérabilité en termes d’adéquation aux produits, et apporte des conseils relatifs à chacune dans le cadre de la communication de correction.
Les CVE en cours d’évaluation par HPE sont CVE-2020-11896, CVE-2020-11897, CVE-2020-11898, CVE-2020-11899, CVE-2020-11900, CVE-2020-11901, CVE-2020-11902, CVE-2020-11903, CVE-2020-11904, CVE-2020-11905, CVE-2020-11906, CVE-2020-11907, CVE-2020-11908, CVE-2020-11909, CVE-2020-11910, CVE-2020-11911, CVE-2020-11912, CVE-2020-11913 et CVE-2020-11914.
Intel a également publié 4 CVE liés à Ripple20 : CVE-2020-0594, CVE-2020-059, CVE-2020-0595 et CVE-2020-8674.
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour en savoir plus, contactez le Centre d’assistance HPE
HPE continue d’enquêter sur ce problème, et l’évaluation de son impact sur le produit sera mise à jour à mesure que de plus amples informations seront disponibles.
-
Vulnérabilité CacheOut (CVE-2020-0548 et CVE-2020-0549)
Le 27 janvier 2020, Intel a révélé une vulnérabilité dans son logiciel de microcode de processeur CPU qui rend possible la divulgation d’informations. Surnommée CacheOut par les chercheurs en sécurité qui ont découvert les problèmes, cette vulnérabilité a pour références CVE-2020-0548 et CVE-2020-0549. Plus de détails sont disponibles via le Intel Security Advisory 00329.
HPE fournira une documentation ci-après concernant l'impact sur ses produits et leur résolution.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour en savoir plus, contactez le Centre de support HPE.
-
Vulnérabilité Plundervolt (CVE-2019-11157) dans certains serveurs HPE utilisant des processeurs Intel
Le 10 décembre 2019, un groupe de chercheurs en sécurité a publié un article décrivant une attaque baptisée Plundervolt. L'attaque est dirigée contre des processeurs Intel utilisant un accès privilégié pour changer la tension du processeur, ce qui pourrait permettre la divulgation ou la modification de code et de données protégées par Intel Software Guard Extensions (SGX). Le problème affecte des serveurs HPE, comme décrit dans les liens ci-dessous.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour en savoir plus, contactez le Centre de support HPE.
-
Vulnérabilité TPM-FAIL (CVE-2019-16863)
En mai 2019, ST Micro, un fournisseur de Trusted Platform Module (TPM), a été contacté par une équipe universitaire qui a découvert une vulnérabilité de sécurité dans un ST TPM. La vulnérabilité cible la fonction de génération de signature ECDSA (Elliptic Curve Digital Signature Algorithm) prise en charge par un produit TPM identifié (ST33TPHF2ESPI - Microprogramme 73.4). L'attaque est basée sur des mesures d'exécution de synchronisation de commande TPM (CVE-2019-16863).
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour en savoir plus, contactez le Centre de support HPE.
-
Panique du noyau Linux TCP SACK lors d’un déni de service à distance (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479)
Trois défauts connexes ont été constatés dans la manipulation du noyau Linux du réseau TCP. La vulnérabilité la plus sérieuse pourrait permettre à un pirate de déclencher à distance une panique du noyau dans les systèmes exécutant le modèle infecté et d’entraver la disponibilité du système. Les problèmes sont désignés par les CVE suivants :
CVE-2019-11477 : SACK Panic
CVE-2019-11478 : SACK Slowness
CVE-2019-11479 : Consommation excessive des ressources en raison de faibles valeurs de MSS
Les deux premiers CVE portent sur les paquets d’accusé de réception sélectif (SACK) et sur la taille maximale de segment (MSS) dans le TCP, tandis que le troisième est affecté uniquement par MSS.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour de plus amples informations, contactez le Centre de support HPE.
-
Échantillonnage des données micro-architecturales (également appelé MDS, ZombieLoad, RIDL & Fallout)
Le 14 mai 2019, Intel et d’autres partenaires du secteur ont dévoilé des détails et informations sur un nouveau groupe de vulnérabilités, désignées collectivement par l’expression « échantillonnage des données micro-architecturales (MDS) ». Ces vulnérabilités de la sécurité des processeurs peuvent entraîner la divulgation d’informations. Intel diffuse des mises à jour du microcode (MCU) pour atténuer ces éventuelles vulnérabilités. Elles sont accompagnées des mises à jour correspondantes du système d’exploitation et du logiciel de l’hyperviseur.
Des informations complémentaires sont disponibles via les CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 et le Comité consultatif sur la sécurité Intel.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Pour de plus amples informations, contactez le Centre de support HPE.
-
Contournement de la sécurité et reconfiguration d’une AMI Aspeed Open BMC, également appelé Pantsdown, CVE-2019-6260
Le 23 janvier 2019, Stewart Smith, un chercheur en sécurité, a rendu public un blog décrivant des attaques au niveau des systèmes d’exploitation, visant les composants informatiques sous-jacents, appelés contrôleurs de gestion de la carte mère (BMC). La vulnérabilité a été surnommée « Pantsdown » en raison de l’effet de surprise de l’attaque. CVE-2019-6260 est la réponse à ce problème. L’utilisation de cette technique a également été avérée dans l’attaque dite « Cloudborne », évoquée dans les médias. Les attaques BMC permettaient de flasher à nouveau le micrologiciel de niveau inférieur, de modifier les mots de passe du matériel et de rendre le système inexploitable. Les BMC de fournisseurs tiers concernés sont en cours d’évaluation et des mises à jour seront publiées par HPE.
Pour en savoir plus sur CVE-2019-6260, consultez NIST NVD
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour de plus amples informations, contactez le Centre de support HPE
-
Apache Struts 2 : Vulnérabilité dans l’exécution du code à distance (CVE-2018-11776)
Le 22 août, Apache a communiqué sur la vulnérabilité existant dans Struts, versions 2.3 à 2.3.34 et 2.5 à 2.5.16 qui peuvent pâtir d’une exécution de code à distance, dans le contexte de l’application. Struts 2 est utilisé dans plusieurs produits HPE. Pour en savoir plus sur CVE-2018-11776, Pour en savoir plus sur CVE-2018-11776, consultez le Dictionnaire MITRE CVE et NIST NVD.
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour de plus amples informations, contactez le Centre de support HPE
-
L1 Terminal Fault : SGX (CVE-2018-3615), L1 Terminal Fault : SE, SMM (CVE-2018-3620), L1 Terminal Fault : VMM (CVE-2018-3646)
Le 14 août 2018, Intel a divulgué de nouvelles vulnérabilités impactant les processeurs pris en charge sur certaines plateformes HPE. Et si elles sont exploitées à de mauvaises fins, ces vulnérabilités peuvent autoriser la récupération clandestine de données sensibles.
Elles utilisent une méthode de canal latéral d’exécution spéculative appelée Terminal Fault L1 (L1TF) par Intel. Au moment de la divulgation, Intel n’avait pas d’information quant à l’utilisation de L1TF dans des exploitations du monde réel. Un peu plus tôt en 2018, l’entreprise a diffusé des microcodes mis à jour, ensuite mis à disposition par HPE via des mises à jour de ROM système. Ces microcodes mis à jour, lorsqu’ils sont couplés avec les nouvelles mises à jour du système d’exploitation et/ou du logiciel hyperviseur mis à disposition, assurent une réduction de ces vulnérabilités.
Intel a indiqué que pour une partie du marché, principalement un sous-ensemble des systèmes exécutant cette technologie de virtualisation traditionnelle dans les datacenters, il est conseillé de prendre des mesures supplémentaires pour protéger les systèmes. Cette mesure peut consister à activer des fonctions de programmation de cœurs d’hyperviseur spécifiques ou à choisir de désactiver l’hyper-filetage dans des scénarios spécifiques. Veuillez consulter les recommandations des fournisseurs du SE et de l’hyperviseur.
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilités liées au contournement de magasin spéculatif (variante 4) CVE-2018-3639 et à Rogue Register Load (Variante 3a) CVE-2018-3640
Le 21 mai 2018, a été dévoilée une vulnérabilité à l’échelle sectorielle, impliquant des architectures de microprocesseur modernes. Selon une nouvelle étude sur la sécurité, il existe des méthodes d’analyses logicielles qui, lorsqu’elles sont utilisées à des fins malveillantes, ont la capacité de collecter de manière incorrecte des données sensibles provenant des appareils de calcul, qui fonctionnent par ailleurs comme prévu. Cette vulnérabilité est alors connue sous l’appellation Speculative Store Bypass ou Variant 4 (CVE-2018-3639). Malgré ses nombreux points communs avec la récente Méthode d’analyse de canal secondaire ou Spectre et Meltdown, il s’agit bien d’une nouvelle vulnérabilité nécessitant de nouveaux antidotes distincts.
La vulnérabilité Speculative Store Bypass ou Variant 4 impacte les architectures de microprocesseur de multiples fournisseurs de processeurs, y compris Intel, AMD et ARM. Pour traiter cette vulnérabilité, les fournisseurs de systèmes et de logiciel du secteur, et notamment HPE, travaillent ensemble pour développer des stratégies d’atténuation. L’atténuation proposée pour les produits basés sur Intel nécessite des mises à jour du SE, mais aussi de la ROM système, y compris un nouveau microcode Intel. En revanche, l’atténuation destinée aux produits basés sur AMD ne nécessite qu’une mise à jour du SE.
De plus, le 21 mai 2018, une autre vulnérabilité a été dévoilée, appelée Rogue Register Load ou Variant 3A (CVE-2018-3640), qui permet à un assaillant d’accéder clandestinement aux registres du processeur. Cette vulnérabilité impacte uniquement les produits basés sur Intel. Son atténuation nécessite uniquement une mise à jour de la ROM système y compris un nouveau microcode Intel. Le même microcode requis pour atténuer Speculative Store Bypass ou Variant 4 permet également de contrer Rogue Register Load ou Variant 3A.
Les processeurs Itanium Intel ne sont pas exposés aux vulnérabilités Speculative Store Bypass (CVE-2018-3639) ou Rogue Register Load (CVE-2018-3640).
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilités du processeur AMD (Fallout/Masterkey/Ryzenfall/Chimera)
Le 13 mars 2018, CTS Labs a publiquement divulgué des informations concernant la recherche sur les vulnérabilités de la sécurité impactant certains produits AMD. Concernant les serveurs HPE, les vulnérabilités concernées impactent le processeur AMD (PSP) Secure, utilisé dans le processeur AMD EPYC série 7000 qui équipe les serveurs HPE ProLiant DL385 Gen10 et HPE Cloudline CL3150 Gen10. Aucun autre produit de serveur HPE n’est impacté par ces vulnérabilités potentielles.
HPE travaille avec AMD afin de déterminer l’étendue de la vulnérabilité et les précautions à prendre pour atténuer l’exposition. Heureusement, le nouveau produit HPE DL385 Gen10 dispose des nouvelles fonctionnalités de sécurité HPE, y compris la racine de confiance sur silicium HPE. Cette nouvelle technologie HPE protège contre le déni de service classique ou le rejet permanent des conditions de service pouvant être causés par un élément de cette vulnérabilité.
Nous mettrons à jour nos communications à mesure que HPE, collaborant avec AMD, obtient des informations. Vous pouvez également vous reporter à la déclaration suivante, publiée par AMD le 20 mars.
L’évaluation de l’impact sur les produits HPE est disponible ici
Pour de plus amples informations, contactez le Centre de support HPE
-
La méthode d’analyse de canal secondaire (Spectre & Meltdown) permet la divulgation d’informations dans les microprocesseurs (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
Récemment, des vulnérabilités de sécurité de canal latéral (Spectre & Meltdown) impliquant l’exécution spéculative ont été annoncées publiquement. Ces vulnérabilités peuvent impacter les produits HPE indiqués dans la liste, ce qui peut entraîner une divulgation d’informations et une hausse des privilèges. L’atténuation et la résolution de ces vulnérabilités peuvent nécessiter aussi bien la mise à jour du système d’exploitation provenant de son fournisseur, et une mise à jour de la ROM système de HPE. Intel a publié une déclaration initiale de haut niveau ici.
De plus, nous attirons l’attention de nos clients sur une déclaration Intel publiée le 22 janvier 2018 concernant les problèmes associés au correctif du microcode Intel conçu pour remédier à la vulnérabilité d’analyse de canal latéral. Intel recommande que les clients cessent le déploiement des ROM système HPE ProLiant, HPE Synergy, HPE Superdome Flex et HPE Superdome X comprenant le microcode actualisé et reviennent à la précédente version de la ROM système. L’évaluation de ces conséquences, référencée dans le lien ci-dessous, a été mise à jour en conséquence. Pour en savoir plus à ce sujet, reportez-vous au Pack de Directives Client HPE et aux Conseils Client HPE. Veuillez noter que le HPE ProLiant DL385 Gen10 avec la mise à jour du microcode AMD fonctionne correctement et qu’il permet d’atténuer le risque associé à la vulnérabilité d’analyse de canal latéral.
L’évaluation de l’impact sur les produits HPE est disponible ici
Les liens vers les correctifs destinés aux produits HPE affectés sont disponibles ici.
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilité de la sécurité du micrologiciel d’Intel Management Engine (ME) et des services pour plateforme (SPS) (CVE-2017-5706/CVE-2017-5709)
Un de nos fournisseurs, Intel, a récemment découvert une potentielle vulnérabilité de sécurité dans son micrologiciel Server Platform Services (SPS). La vulnérabilité de la sécurité a affecté plusieurs de ses architectures de processeur. Néanmoins, les architectures de serveur Intel impactés ne sont pas tous utilisés dans les produits HPE. Plus précisément, le micrologiciel SPS/ME utilisé dans l’architecture d’Intel peut être compromis en utilisant l’accès physique. Par conséquent, le code non authentifié peut être exécuté dans l’environnement SPS sans que l’utilisateur ou l’administrateur du système d’exploitation ne le voie.
Ces vulnérabilités ne sont pas uniques aux serveurs HPE et affecteront tous les systèmes ayant recours à des architectures de processeur identifiées d’Intel avec des révisions de micrologiciel impacté.
Évaluations de l’impact sur les produits HPE au format HTML ou tableur
Pour de plus amples informations, contactez le Centre de support HPE
-
Attaques de réinstallation de clé WPA2 (également appelées « Krack Attacks »)
Le 16 octobre 2017, les chercheurs en sécurité Mathy Vanhoef et Frank Piessens ont décrit des vulnérabilités dans Wi-Fi Protected Access II (WPA2) dans un article scientifique publié, "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2". Certains trafics protocolaires WPA2 vulnérables peuvent être manipulés pour provoquer une réutilisation nonce et de clé de session, entraînant alors une réinstallation clé par un point d’accès sans fil (PA) ou un client sans fil. Cela permet pour un assaillant ayant à sa portée un PA affecté et un client sans fil d’exécuter un déchiffrement de paquet arbitraire, une injection de paquet, un piratage de connexion TCP et une injection de contenu HTTP.
Les CVE suivants sont attribués à cette vulnérabilité : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
Évaluations de l’impact sur les produits HPE au format HTML ou tableur
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilité d’Apache Struts 2 - (CVE-2017-9805)
Le module complémentaire REST Plugin in Apache Struts2 utilise un XStreamHandler avec une instance XStream pour la désérialisation sans aucun type de filtre qui pourrait entraîner l’exécution du code à distance lors de la désérialisation des charges utiles XML. Un assaillant peut utiliser ce défaut pour exécuter le code de manière arbitraire ou mener d’autres attaques.
Pour en savoir plus sur CVE-2017-9805, consultez le dictionnaire MITRE CVE et NIST NVD.
Évaluations de l’impact sur les produits HPE au format HTML ou tableur
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilité de Microsoft Windows WCry/WannaCry Ransomware MS17-010 (CVE-2017-0143 - CVE-2017-0148)
Le 12 mai 2017, une attaque ransomware a été déployée par des protagonistes inconnus contre des clients Microsoft Windows. L’attaque a entraîné le chiffrement de PC et serveurs dans le cadre d’une attaque de type ransomware de déni de service. Le 14 mars 2017, Microsoft a publié le correctif MS17-010 afin de remédier à cette vulnérabilité. De plus amples informations sur cette vulnérabilité sont disponibles auprès de Microsoft - MS17-010 et de NVD - CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.
Évaluations de l’impact sur les produits HPE au format HTML ou tableur
Pour de plus amples informations, contactez le Centre de support HPE
-
Intel AMT Intensification de la vulnérabilité des privilèges - CVE-2017-5689
Le 1er mai 2017, Intel a divulgué une nouvelle vulnérabilité dans son Intel Manageability Firmware, qui est utilisé sur certains systèmes contenant des processeurs Intel. Cette vulnérabilité permet à un réseau ou un assaillant local non privilégié de prendre le contrôle des fonctionnalités de gestion à distance des plateformes Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Small Business Technology (SBT). De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2017-5689.
Évaluations de l’impact sur les produits HPE au format HTML ou tableur
Pour de plus amples informations, contactez le Centre de support HPE
-
Vulnérabilité d’Apache Struts 2 - CVE-2017-5638
Le 6 mars 2017, Apache a dévoilé une nouvelle vulnérabilité dans Apache Struts 2. La vulnérabilité permet l’exécution de code à distance tout en téléchargeant les fichiers à l’aide de l’analyseur pluripartite Jakarta utilisé dans Apache Struts 2. Cette faille permet à un assaillant d’envoyer une en-tête HTTP de type contenu invalide au sein de la demande de téléchargement de fichier, ce qui pourrait entraîner l’exécution d’un code arbitraire sur le système vulnérable. Lors de l’exploitation, l’assaillant peut récupérer des données critiques et/ou prendre le contrôle du système affecté. De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2017-5638.
Évaluation de l’impact sur le produit HTML
-
Vulnérabilité de l’escalade des privilèges dans le noyau Linux (« Dirty COW »)
Le 19 octobre 2016, une vulnérabilité sur l’escalade des privilèges a été décelée dans le noyau Linux. Une condition de compétition a été détectée dans la manière dont le sous-système de mémoire du noyau Linux a traité la rupture de copy-on-write (COW) des mises en correspondances privées de la mémoire morte. Ce défaut a permis à un utilisateur local sans privilège d’avoir un accès en écriture à des mises en correspondance de mémoire morte et d’obtenir ainsi plus de privilèges sur le noyau Linux. Cette vulnérabilité est appelée « Dirty COW ». De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2016-5195.
Évaluation de l’impact sur le produit HTML
-
Vulnérabilité de la manipulation variable de l’environnement HTTP_PROXY (« FalseCONNECT »)
Le 15 août 2016, une vulnérabilité appelée « FalseCONNECT » dans l’implémentation de HTTP 407 (authentification proxy requise) a été décelée pour le procédé CONNECT. Étant donné que ces requêtes sont toujours effectuées en texte clair via HTTP, elles sont vulnérables aux attaques de type « man in the middle » qui peuvent être utilisées pour exposer les données de connexion des utilisateurs et, dans certaines implémentations, elles restituent HTML et les scripts dans le client DOM dans un contexte de sécurité. L’injection, ainsi que la falsification des en-têtes d’authentification 407 dans le cadre du procédé CONNECT peuvent rendre l’utilisateur vulnérable à l’hameçonnage ainsi qu’à des attaques de déclassement d’authentification. Vous trouverez plus d’informations sur la vulnérabilité dans CERT VU#905344.
-
Vulnérabilité de l’application CGI (« HTTPoxy ») pour PHP, Go, Python et autres
Le 18 juillet 2016, une vulnérabilité dans le traitement de la variable d’environnement HTTP_PROXY par des serveurs web, structures web et langages de programmation exécutés dans des environnements CGI ou semblables à CGI, appelée HTTPoxy, a été décelée. La vulnérabilité provient de l’utilisation d’une entrée, fournie par l’utilisateur, afin de définir la variable d’environnement HTTP_PROXY sans validation suffisante. Cette vulnérabilité pourrait permettre à un attaquant non authentifié à distance de réaliser une attaque de type « man in the middle » (MITM) ou de rediriger le trafic sortant vers un serveur arbitraire, provoquant la divulgation d’informations sensibles. Vous trouverez plus d’informations sur cette vulnérabilité dans CVE-HTTPoxy.
Évaluation de l’impact sur le produit HTML
-
Attaque inter-protocole sur TLS à l’aide de SSLv2 (DROWN) – CVE-2016-0800
Le 1er mars 2016, une attaque a été révélée, désignée DROWN : Déchiffrement de RSA à l’aide de chiffrement obsolète et affaibli. Il s’agit d’une attaque inter-protocole qui exploite une vulnérabilité dans SSLv2 pour déchiffrer des sessions collectées de façon passive. De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2016-0800.
-
Débordement de tampon basé sur la stack dans la fonction Getaddrinfo() de la Glibc
Une vulnérabilité affectant les serveurs de nom DNS basés sur ISC BIND a été dévoilée le 28 juillet 2015. Cette vulnérabilité pourrait permettre un déni de service exploitable à distance contre les serveurs de nom exécutant ISC BIND. Vous trouverez plus d’informations sur la vulnérabilité du traitement d’interrogation ISC BIND TKEY dans CVE-2015-5477.
-
Faille de sécurité du processeur Intel (à savoir « Memory Sinkhole »)
Le 16 février 2016, une vulnérabilité de débordement de tampon basé sur la stack dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans la fonction de bibliothèque getaddrinfo() de la glibc. Les applications utilisant cette fonction peuvent être exploitées par les attaquants en réalisant une exécution de code à distance sur l’appareil affecté. Vous trouverez plus d’informations sur la vulnérabilité sur le site web du NIST CVE-2015-7547.
-
Vulnérabilité du traitement d’interrogation ISC BIND TKEY - CVE-2015-5477
Présentation générale
Le 6 août 2015, lors de la conférence sur la sécurité Black Hat à Las Vegas, le chercheur en sécurité Christopher Domas a fait une démonstration de l’installation d’un rootkit dans le microprogramme d’un ordinateur de bureau. Christopher Domas a appelé la démonstration un « gouffre de mémoire ». L’attaque a exploité une caractéristique intégrée dans les puces x86 fabriquées depuis le milieu des années 1990 jusqu’à la sortie en 2011 de la série E5-2600 de processeur Intel Xeon (c’est-à-dire Sandy Bridge-EP).
La vulnérabilité existe dans le contrôleur d’interruption programmable avancé (APIC), permettant une attaque contre la zone de mémoire du Mode de gestion de système (SMM) utilisée par le système d’exploitation pour créer une interface avec l’environnement de démarrage comme BIOS, EFI ou UEFI. Un attaquant peut exploiter cette vulnérabilité pour utiliser le mode d’exécution disposant du plus de privilèges et écraser éventuellement les caractéristiques de sécurité dans l’environnement de démarrage. L’exploitation de démonstration utilise les caractéristiques de code UEFI pour installer un rootkit.
Impact Potentiel
HPE a effectué des recherches sur l’impact potentiel de ce problème sur ses produits Enterprise (c’est-à-dire les serveurs, le stockage et la mise en réseau) et a déterminé que les serveurs HPE ProLiant de série Gen8 et Gen9 n’étaient pas vulnérables, car Intel avait précédemment traité ce défaut de conception dans la série E5-2600 du processeur Intel Xeon et les versions suivantes des processeurs pour serveur. Veuillez noter que la série E5-2600 de processeur Intel Xeon est utilisée dans les serveurs ProLiant Gen8.
En outre, HPE a effectué des recherches sur l’impact potentiel de ce problème sur les serveurs HPE ProLiant de série G5, G6 et G7 et déterminé qu’ils n’étaient pas vulnérables à l’attaque spécifique illustrée par Christopher Domas lors de la conférence sur la sécurité Black Hat. Intel fournit une mise à jour de microcode pour ces serveurs, qui permet d’éviter une faille potentielle de sécurité si l’on tente d’exploiter cette vulnérabilité. Par mesure de sécurité supplémentaire, HPE prévoit de mettre en place ce microcode dans les ProLiant System ROM mis à jour, et de le rendre disponible en téléchargement sur le Centre de support HPE, et ce gratuitement pour les clients.
Que pouvez-vous faire ?
Veuillez vérifier si des mises à jour sont disponibles sur cette page concernant la disponibilité des ROM de système mises à jour pour les serveurs ProLiant de série G5, G6, et G7.
-
Vulnérabilité de contrefaçon des chaînes alternatives OpenSSL
Le 9 juillet 2015, OpenSSL a décrit un défaut dans la manière dont les chaînes de certificats alternatifs étaient vérifiées. Il ne concerne que les versions de OpenSSL publiées depuis juin 2015 : v1.0.2c, v1.0.2b, v1.0.1o et v1.0.1n. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de contourner certaines vérifications de validation de certificat, permettant d’émettre un certificat invalide. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-1793.
-
Vulnérabilité VENOM - CVE-2015-3456
Le 13 mai 2105, une vulnérabilité a été dévoilée dans le code de lecteur de disquette virtuel utilisé par de nombreuses plateformes de virtualisation. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de sortir du mode invité de la machine virtuelle (VM) affectée et d’exécuter éventuellement un code sur l’hôte. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-3456.
-
Vulnérabilité Glibc « GHOST »
Le 27 janvier 2015, une vulnérabilité de débordement de tampon dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans l’ensemble gethostbyname des fonctions de la bibliothèque GNU C (glibc) et pourrait être utilisé pour exécuter un code arbitraire. Vous trouverez plus d’informations sur la vulnérabilité sur le site web NIST CVE-2015-0235.
-
Vulnérabilité SSLv3 POODLE - CVE-2014-3566
Le 14 octobre 2014, une vulnérabilité dans le protocole SSLv3 a été annoncée. Une exploitation de cette vulnérabilité pourrait permettre à un attaquant de déchiffrer des portions de trafic chiffrées par le biais d’une attaque POODLE (Padding Oracle on Downgraded Legacy Encryption). Vous trouverez plus d’informations sur la vulnérabilité SSLv3 POODLE sur le site web NIST CVE-2014-3556.
-
Vulnérabilité GNU Bourne Again Shell (Bash) ‘Shellshock’
Une récente vulnérabilité Bash affectant les systèmes d’exploitation basés sur Unix, tels que Linux et Mac OS X, a été dévoilée le 24 septembre 2014. Exploiter cette vulnérabilité peut permettre à un attaquant à distance d’exécuter un code arbitraire sur un système affecté. Vous trouverez plus d’informations sur ce problème dans CVE-2014-7169.
-
Vulnérabilité OpenSSL « Heartbleed »
Le 8 avril 2014, HP a été informé d’une vulnérabilité OpenSSL CVE-2014-0160(désormais connue sous le nom de "Heartbleed"). Cette vulnérabilité avait largement attiré l’attention des médias. Consulter la section ressources pour trouver un lien vers l’entrée de la base de données nationale de vulnérabilités décrivant cette vulnérabilité en détail. OpenSSL est utilisé dans certains produits HP pour fournir des services SSL et de chiffrement.
Assistance produits
Une assistance technique concernant les produits est assurée par le Centre de support HPE.
Services de sécurité et de protection numérique HPE