Összefoglaló
A HP Data Protector több sérülékenysége vált ismertté, amelyeket kihasználva jogosulatlan távoli kódfuttatásra és man-in-the-middle támadásra nyílhat lehetőség.
Leírás
Mivel a Data Protector nem hitelesíti a felhasználót, még akkor sem, ha az “Encrypted Control Communications” engedélyezve van, így jogosulatlan távoli kódfuttatásra nyílhat lehetőség a Data Protector szerveren.
Megoldás
Frissítsen az alábbi verzióra:
- HP Data Protector 7.03_108
- HP Data Protector 8.15
- HP Data Protector 9.06
Támadás típusa
execute arbitrary codeman in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20564.www2.hpe.com
Egyéb referencia: www.heise.de
Egyéb referencia: www.kb.cert.org
CVE-2016-2004 - NVD CVE-2016-2004
CVE-2016-2005 - NVD CVE-2016-2005
CVE-2016-2006 - NVD CVE-2016-2006
CVE-2016-2007 - NVD CVE-2016-2007
CVE-2016-2008 - NVD CVE-2016-2008
CVE-2015-2808 - NVD CVE-2015-2808