Alertes sur les failles de sécurité des produits Hewlett Packard Enterprise
Hewlett Packard Enterprise intègre les meilleures pratiques du secteur informatique durant le cycle de vie du développement des produits afin de garantir une sécurité accrue. Les pratiques HPE en termes d’ingénierie et de production sont conçues pour répondre aux exigences produit, protéger la propriété intellectuelle HPE et prendre en charge les conditions de garantie des produits HPE.
Lorsqu’une nouvelle faille de sécurité est découverte dans le secteur, HPE examine sa chaîne de produits pour en déterminer l’impact. Pour les produits affectés, des bulletins de sécurité sont publiés. Ces bulletins contiennent les versions des produits concernés et la résolution (patch, mise à niveau ou modification de configuration).
Vous pouvez vous abonner pour recevoir des notifications en temps réel sur les futurs bulletins de sécurité HPE ainsi que des conseils sur vos produits - Abonnez-vous pour recevoir les alertes sur vos produits.
Le 22 août, Apache a communiqué sur la vulnérabilité existant dans Struts, versions 2.3 à 2.3.34 et 2.5 à 2.5.16 qui peuvent pâtir d’une exécution de code à distance, dans le contexte de l’application. Struts 2 est utilisé dans plusieurs produits HPE. Pour en savoir plus sur CVE-2018-11776, Pour en savoir plus sur CVE-2018-11776, consultez le Dictionnaire MITRE CVE et NIST NVD.
L’évaluation de l’impact pour les produits HPE est disponible ici.
De plus amples détails sur HPE Support Center.
Le 14 août 2018, Intel a divulgué de nouvelles vulnérabilités impactant les processeurs pris en charge sur certaines plateformes HPE. Ces vulnérabilités, si elles sont exploitées à de mauvaises fins, peuvent autoriser la récupération clandestine de données sensibles.
Elles utilisent une méthode de canal latéral d’exécution spéculative appelée Terminal Fault L1 (L1TF) par Intel. Au moment de la divulgation, Intel n’avait pas d’information quant à l’utilisation de L1TF dans des exploitations du monde réel. Un peu plus tôt en 2018, l’entreprise a diffusé des microcodes mis à jour, ensuite mis à disposition par HPE via des mises à jour de ROM système. Ces microcodes mis à jour, lorsqu’ils sont couplés avec les nouvelles mises à jour du système d’exploitation et/ou du logiciel hyperviseur mis à disposition, assurent une réduction de ces vulnérabilités.
Intel a indiqué que pour une partie du marché, principalement un sous-ensemble des systèmes exécutant cette technologie de virtualisation traditionnelle dans les datacenters, il est conseillé de prendre des mesures supplémentaires pour protéger les systèmes. Cette mesure peut consister à activer des fonctions de programmation de cœurs d’hyperviseur spécifiques ou à choisir de désactiver l’hyper-filetage dans des scénarios spécifiques. Veuillez consulter les recommandations des fournisseurs du SE et de l’Hyperviseur.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Plus d’informations sur HPE Support Center.
Le 21 mai 2018, a été dévoilée une vulnérabilité à l’échelle sectorielle, impliquant des architectures de microprocesseur modernes. Selon une nouvelle étude sur la sécurité, il existe des méthodes d’analyses logicielles qui, lorsqu’elles sont utilisées à des fins malveillantes, ont la capacité de collecter de manière incorrecte des données sensibles provenant des appareils de calcul, qui fonctionnent par ailleurs comme prévu. Cette vulnérabilité est alors connue sous l’appellation Speculative Store Bypass ou Variant 4 (CVE-2018-3639). Malgré ses nombreux points communs avec la récente Méthode d’analyse de canal secondaire ou Spectre et Meltdown, il s’agit bien d’une nouvelle vulnérabilité nécessitant de nouveaux antidotes distincts.
La vulnérabilité Speculative Store Bypass ou Variant 4 impacte les architectures de microprocesseur de multiples fournisseurs de processeurs, y compris Intel, AMD et ARM. Pour traiter cette vulnérabilité, les fournisseurs de systèmes et de logiciel du secteur, et notamment HPE, travaillent ensemble pour développer des stratégies d’atténuation. L’atténuation proposée pour les produits basés sur Intel nécessite des mises à jour du SE, mais aussi de la ROM système, y compris un nouveau microcode Intel. En revanche, l’atténuation destinée aux produits basés sur AMD ne nécessite qu’une mise à jour du SE.
De plus, le 21 mai 2018, une autre vulnérabilité a été dévoilée, appelée Rogue Register Load ou Variant 3A (CVE-2018-3640), qui permet à un assaillant d’accéder clandestinement aux registres du processeur. Cette vulnérabilité impacte uniquement les produits basés sur Intel. Son atténuation nécessite uniquement une mise à jour de la ROM système y compris un nouveau microcode Intel. Le même microcode requis pour atténuer Speculative Store Bypass ou Variant 4 permet également de contrer Rogue Register Load ou Variant 3A.
Les processeurs Itanium Intel ne sont pas exposés aux vulnérabilités Speculative Store Bypass (CVE-2018-3639) ou Rogue Register Load (CVE-2018-3640).
L’évaluation de l’impact sur les produits HPE est disponible ici.
Plus d’informations sur HPE Support Center.
Le 13 mars 2018, CTS Labs a publiquement divulgué des informations concernant la recherche sur les vulnérabilités de la sécurité impactant certains produits AMD. Concernant les serveurs HPE, les vulnérabilités concernées impactent le processeur AMD (PSP) Secure, utilisé dans le processeur AMD EPYC série 7000 qui équipe les serveurs HPE ProLiant DL385 Gen10 et HPE Cloudline CL3150 Gen10. Aucun autre produit de serveur HPE n’est impacté par ces vulnérabilités potentielles.
HPE travaille avec AMD afin de déterminer l’étendue de la vulnérabilité et les précautions à prendre pour atténuer l’exposition. Heureusement, le nouveau produit HPE DL385 Gen10 dispose des nouvelles fonctionnalités de sécurité HPE, y compris la racine de confiance sur silicium HPE. Cette nouvelle technologie HPE protège contre le déni de service classique ou le rejet permanent des conditions de service pouvant être causés par un élément de cette vulnérabilité.
Nous mettrons à jour nos communications à mesure que HPE, collaborant avec AMD, obtient des informations. Vous pouvez également vous reporter à la déclaration suivante, publiée par AMD le 20 mars.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Plus d’informations sur HPE Support Center.
Récemment, des vulnérabilités de sécurité de canal latéral (Spectre & Meltdown) impliquant l’exécution spéculative ont été annoncées publiquement. Ces vulnérabilités peuvent impacter les produits HPE indiqués dans la liste, ce qui peut entraîner une divulgation d’informations et une hausse des privilèges. L’atténuation et la résolution de ces vulnérabilités peuvent nécessiter aussi bien la mise à jour du système d’exploitation provenant de son fournisseur, et une mise à jour de la ROM système de HPE. Intel a publié une déclaration initiale de haut niveau ici.
De plus, nous attirons l’attention de nos clients sur une déclaration Intel publiée le 22 janvier 2018 concernant les problèmes associés au correctif Intel conçu pour remédier à la vulnérabilité d’analyse de canal latéral. Intel recommande que les clients cessent le déploiement des ROM système HPE ProLiant, HPE Synergy, HPE Superdome Flex et HPE Superdome X comprenant le microcode actualisé et reviennent à la précédente version de la ROM système. L’évaluation de ces conséquences, référencée dans le lien ci-dessous, a été mise à jour en conséquence. Pour en savoir plus à ce sujet, reportez-vous au Pack de Directives Client HPE et aux Conseils Client HPE . Veuillez noter que le HPE ProLiant DL385 Gen10 avec la mise à jour du microcode AMD fonctionne correctement et qu’il permet d’atténuer le risque associé à la vulnérabilité d’analyse de canal latéral.
L’évaluation de l’impact sur les produits HPE est disponible ici.
Les liens vers les correctifs destinés aux produits HPE affectés sont disponibles ici.
Plus d’informations sur HPE Support Center
Un de nos fournisseurs, Intel, a récemment découvert une potentielle vulnérabilité de sécurité dans leur micrologiciel Server Platform Services (SPS). La vulnérabilité de la sécurité a affecté plusieurs de leurs architectures de processeur. Néanmoins, les architectures de serveur Intel impactés ne sont pas tous utilisés dans les produits HPE. Plus précisément, le micrologiciel SPS/ME utilisé dans l’architecture d’Intel peut être compromis en utilisant l’accès physique. Par conséquent, le code non authentifié peut être exécuté dans l’environnement SPS sans que l’utilisateur ou l’administrateur du système d’exploitation ne le voie.
Ces vulnérabilités ne sont pas uniques aux serveurs HPE et affecteront tous les systèmes ayant recours à des architectures de processeur identifiées d’Intel avec des révisions de micrologiciel impacté.
Évaluation de l’impact sur les Produits HPE sous forme HTML ou tableur
Plus d’informations sur HPE Support Center
Le 16 octobre 2017, les chercheurs en sécurité Mathy Vanhoef et Frank Piessens ont décrit des vulnérabilités dans Wi-Fi Protected Access II (WPA2) dans un article scientifique publié, "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2". Certains trafics protocolaires WPA2 vulnérables peuvent être manipulés pour provoquer une réutilisation nonce et de clé de session, entraînant alors une réinstallation clé par un point d’accès sans fil (PA) ou un client sans fil. Cela permet pour un assaillant ayant à sa portée un PA affecté et un client sans fil d’exécuter un décryptage de paquet arbitraire, une injection de paquet, un piratage de connexion TCP et une injection de contenu HTTP.
Les CVE suivants sont attribués à cette vulnérabilité : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
Évaluations de l’impact sur les Produits HPE sous forme HTML ou tableur
Plus d’informations sur HPE Support Center
Le module complémentaire REST Plugin in Apache Struts2 utilise un XStreamHandler avec une instance XStream pour la désérialisation sans aucun type de filtre qui pourrait entraîner l’exécution du code à distance lors de la désérialisation des charges utiles XML. Un assaillant peut utiliser ce défaut pour exécuter le code de manière arbitraire ou mener d’autres attaques.
Pour en savoir plus sur CVE-2017-9805, consultez le dictionnaire MITRE CVE et NIST NVD.
Évaluations de l’impact sur les produits HPE sous forme HTML ou tableur
Plus d’informations sur HPE Support Center
Le 12 mai 2017, une attaque ransomware a été déployée par des protagonistes inconnus contre des clients Microsoft Windows. L’attaque a entraîné le cryptage de PC et serveurs dans le cadre d’une attaque de type ransomware de déni de service. Le 14 mars 2017, Microsoft a sorti MS17-010, un correctif qui remédie à la vulnérabilité. De plus amples informations sur cette vulnérabilité sont disponibles auprès de Microsoft - MS17-010 et de NVD - CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.
Évaluations de l’impact sur les produits HPE sous forme HTML ou tableur
Plus d’informations sur HPE Support Center
Le 1er mai 2017, Intel a divulgué une nouvelle vulnérabilité dans leur Intel Manageability Firmware, qui est utilisé sur certains systèmes contenant des processeurs Intel. Cette vulnérabilité permet à un réseau ou un assaillant local non privilégié de prendre le contrôle des fonctionnalités de gestion à distance des plateformes Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Small Business Technology (SBT). De plus amples informations sur cette vulnérabilité sont disponibles à CVE-2017-5689.
Évaluations de l’impact sur les produits HPE sous forme HTML ou tableur
Plus d’informations sur HPE Support Center
Le 6 mars 2017, Apache a dévoilé une nouvelle vulnérabilité dans Apache Struts 2. La vulnérabilité permet l’exécution de code à distance tout en téléchargeant les fichiers à l’aide de l’analyseur pluripartite Jakarta utilisé dans Apache Struts 2. Cette faille permet à un assaillant d’envoyer une en-tête HTTP de type contenu invalide au sein de la demande de téléchargement de fichier, ce qui pourrait entraîner l’exécution d’un code arbitraire sur le système vulnérable. Lors de l’exploitation, l’assaillant peut récupérer des données critiques et/ou prendre le contrôle du système affecté. Des informations supplémentaires sur cette vulnérabilité sont disponibles à CVE-2017-5638.
Évaluation de l’impact sur le produit HTML
Le 19 octobre 2016, une vulnérabilité sur l’escalade des privilèges a été décelée dans le noyau Linux. Une condition de compétition a été détectée dans la manière dont le sous-système de mémoire du noyau Linux a traité la rupture de copy-on-write (COW) des mises en correspondances privées de la mémoire morte. Ce défaut a permis à un utilisateur local sans privilège d’avoir un accès en écriture à des mises en correspondance de mémoire morte et d’obtenir ainsi plus de privilèges sur le noyau Linux. Cette vulnérabilité est appelée « Dirty COW ». Vous trouverez plus d’informations sur cette vulnérabilité dans CVE-2016-5195.
Évaluation de l’impact sur le produit HTML
Le 15 août 2016, une vulnérabilité appelée « FalseCONNECT » dans l’implémentation de HTTP 407 (authentification proxy requise) a été décelée pour le procédé CONNECT. Étant donné que ces requêtes sont toujours effectuées en texte clair via HTTP, elles sont vulnérables aux attaques de type « man in the middle » qui peuvent être utilisées pour exposer les données de connexion des utilisateurs et, dans certaines implémentations, elles restituent HTML et les scripts dans le client DOM dans un contexte de sécurité. L’injection, ainsi que la falsification des en-têtes d’authentification 407 dans le cadre du procédé CONNECT peuvent rendre l’utilisateur vulnérable à l’hameçonnage ainsi qu’à des attaques de déclassement d’authentification. Vous trouverez plus d’informations sur la vulnérabilité dans CERT VU#905344.
Évaluation de l’impact sur le produit
Le 18 juillet 2016, une vulnérabilité dans le traitement de la variable d’environnement HTTP_PROXY par des serveurs web, structures web et langages de programmation exécutés dans des environnements CGI ou semblables à CGI, appelée HTTPoxy, a été décelée. La vulnérabilité provient de l’utilisation d’une entrée, fournie par l’utilisateur, afin de définir la variable d’environnement HTTP_PROXY sans validation suffisante. Cette vulnérabilité pourrait permettre à un attaquant non authentifié à distance de réaliser une attaque de type « man in the middle » (MITM) ou de rediriger le trafic sortant vers un serveur arbitraire, provoquant la divulgation d’informations sensibles. Vous trouverez plus d’informations sur cette vulnérabilité dans CVE-HTTPoxy.
Évaluation de l’impact sur le produit HTML
Feuille de calcul de l’évaluation d’impact sur le produit
Informations supplémentaires
Le 1er mars 2016, une attaque a été révélée, désignée DROWN - Déchiffrement de RSA à l’aide de chiffrement obsolète et affaibli. Il s’agit d’une attaque inter-protocole qui exploite une vulnérabilité dans SSLv2 pour déchiffrer des sessions collectées de façon passive. Vous trouverez plus d’informations sur la vulnérabilité dans CVE-2016-0800.
Une vulnérabilité affectant les serveurs de nom DNS basés sur ISC BIND a été dévoilée le 28 juillet 2015. Cette vulnérabilité pourrait permettre un déni de service exploitable à distance contre les serveurs de nom exécutant ISC BIND. Vous trouverez plus d’informations sur la vulnérabilité du traitement d’interrogation ISC BIND TKEY dans CVE-2015-5477.
Informations supplémentaires
Le 16 février 2016, une vulnérabilité de débordement de tampon basé sur la pile dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans la fonction de bibliothèque getaddrinfo() de la glibc. Les applications utilisant cette fonction peuvent être exploitées par les attaquants en réalisant une exécution de code à distance sur l’appareil affecté. Vous trouverez plus d’informations sur la vulnérabilité sur le site web NIST CVE-2015-7547.
Évaluation de l’impact sur le produit
Informations supplémentaires
Présentation générale
Le 6 août 2015, lors de la conférence sur la sécurité Black Hat à Las Vegas, le chercheur en sécurité Christopher Domas a fait une démonstration de l’installation d’un rootkit dans le microprogramme d’un ordinateur de bureau. Christopher Domas a appelé la démonstration un « gouffre de mémoire ». L’attaque a exploité une caractéristique intégrée dans les puces x86 fabriquées depuis le milieu des années 1990 jusqu’à la sortie en 2011 de la série E5-2600 de processeur Intel Xeon (c’est-à-dire Sandy Bridge-EP).
La vulnérabilité existe dans le contrôleur d’interruption programmable avancé (APIC), permettant une attaque contre la zone de mémoire du Mode de gestion de système (SMM) utilisée par le système d’exploitation pour créer une interface avec l’environnement de démarrage comme BIOS, EFI ou UEFI. Un attaquant peut exploiter cette vulnérabilité pour utiliser le mode d’exécution disposant du plus de privilèges et écraser éventuellement les caractéristiques de sécurité dans l’environnement de démarrage. L’exploitation de démonstration utilise les caractéristiques de code UEFI pour installer un rootkit.
Impact Potentiel
HPE a effectué des recherches sur l’impact potentiel de ce problème sur ses produits Enterprise (c’est-à-dire les serveurs, le stockage et la mise en réseau) et a déterminé que les serveurs HPE ProLiant de série Gen8 et Gen9 n’étaient pas vulnérables, car Intel avait précédemment traité ce défaut de conception dans la série E5-2600 du processeur Intel Xeon et les versions suivantes des processeurs pour serveur. Veuillez noter que la série E5-2600 de processeur Intel Xeon est utilisée dans les serveurs ProLiant Gen8.
En outre, HPE a effectué des recherches sur l’impact potentiel de ce problème sur les serveurs HPE ProLiant de série G5, G6 et G7 et déterminé qu’ils n’étaient pas vulnérables à l’attaque spécifique illustrée par Christopher Domas lors de la conférence sur la sécurité Black Hat. Intel fournit une mise à jour de micro-code pour ces serveurs, qui permet d’éviter une faille potentielle de sécurité si l’on tente d’exploiter cette vulnérabilité. En guise de mesure de sécurité supplémentaire, HPE prévoit de mettre en place ce microcode dans les ROM du système ProLiant mises à jour, qui sera disponible au téléchargement sur le Centre d’assistance HPE, sans frais pour les clients.
Que pouvez-vous faire ?
Veuillez vérifier si des mises à jour sont disponibles sur cette page concernant la disponibilité des ROM de système mises à jour pour les serveurs ProLiant de série G5, G6 et G7.
Le 9 juillet 2015, OpenSSL a décrit un défaut dans la manière dont les chaînes de certificats alternatifs étaient vérifiées. Il ne concerne que les versions de OpenSSL publiées depuis juin 2015 : v1.0.2c, v1.0.2b, v1.0.1o et v1.0.1n. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de contourner certaines vérifications de validation de certificat, permettant d’émettre un certificat invalide. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-1793.
Informations supplémentaires
Le 13 mai 2105, une vulnérabilité a été dévoilée dans le code de lecteur de disquette virtuel utilisé par de nombreuses plates-formes de virtualisation. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de sortir du mode invité de la machine virtuelle (VM) affectée et d’exécuter éventuellement un code sur l’hôte. Vous trouverez plus d’informations sur la vulnérabilité VENOM sur le site web NIST CVE-2015-3456.
Informations supplémentaires
Le 27 janvier 2015, une vulnérabilité de débordement de tampon dans la bibliothèque GNU C (glibc) a été dévoilée au public. Le défaut a été découvert dans l’ensemble gethostbyname des fonctions de la bibliothèque GNU C (glibc) et pourrait être utilisé pour exécuter un code arbitraire. Vous trouverez plus d’informations sur la vulnérabilité sur le site web NIST CVE-2015-0235.
Informations supplémentaires
Le 14 octobre 2014, une vulnérabilité dans le protocole SSLv3 a été annoncée. Une exploitation de cette vulnérabilité pourrait permettre à un attaquant de déchiffrer des portions de trafic chiffrées par le biais d’une attaque POODLE (Padding Oracle on Downgraded Legacy Encryption). Vous trouverez plus d’informations sur la vulnérabilité SSLv3 POODLE sur le site web NIST CVE-2014-3556.
Informations supplémentaires
Une récente vulnérabilité Bash affectant les systèmes d’exploitation basés sur Unix, tels que Linux et Mac OS X, a été dévoilée le 24 septembre 2014. Exploiter cette vulnérabilité peut permettre à un attaquant à distance d’exécuter un code arbitraire sur un système affecté. Vous trouverez plus d’informations sur ce problème dans CVE-2014-7169.
Informations supplémentaires
Le 8 avril 2014, HP a été informé d’une vulnérabilité OpenSSL CVE-2014-0160 (désormais connue sous le nom de "Heartbleed"). Cette vulnérabilité avait largement attiré l’attention des médias. Consulter la section ressources pour trouver un lien vers l’entrée de la base de données nationale de vulnérabilités décrivant cette vulnérabilité en détail. OpenSSL est utilisé dans certains produits HP pour fournir des services SSL et de chiffrement.
Informations supplémentaires
Assistance produit
Une assistance produit technique est disponible auprès du Centre d’assistance HPE.