HPE OneView'da, saldırganların kötü amaçlı kod yerleştirmesine ve yürütmesine olanak verebilecek kritik bir güvenlik açığı bulunmaktadır. Bu, İnternet'ten önceden kayıt yapılmadan mümkün olduğundan, güvenlik açığı mümkün olan en yüksek risk derecelendirmesini alır.
Duyurudan sonra devamını okuyun
HPE OneView, sunucular, depolama sistemleri ve ağlar gibi BT altyapısını merkezi olarak yönetmek için kullanılır. Salı günkü güvenlik açığı açıklamasında yalnızca kısaca şunlar tartışılıyor: “HPE OneView'da uzaktan kod yürütme sorunu var” (CVE-2025-37164, CVSS) 10.0risk”eleştirmen“). HPE'nin web sitesindeki bir güvenlik tavsiyesi pek yararlı değildir, ancak en azından birkaç koşuldan bahseder: “Hewlett Packard Enterprise OneView yazılımında olası bir güvenlik açığı belirlendi. Güvenlik açığı kötüye kullanılabilir ve ağdaki kimliği doğrulanmamış kullanıcıların uzaktan kod çalıştırmasına izin verebilir.”
HPE, güvenlik açığının gerçekte ne olduğunu veya saldırıların nasıl ortaya çıkabileceğini açıklamaz. Ancak yakın zamanda yayımlanan 11.00 sürümünden önceki tüm sürümler etkilenmektedir. HPE bunları HPE Yazılım Merkezi'nden indirilebilir hale getirir.
Önceki sürümler için düzeltme
HPE ayrıca OneView'ın 5.20 ile 10.20 arasındaki eski sürümleri için Yazılım Merkezi'nde düzeltmelerin kullanıma sunulmasını istiyor. Üretici, OneView 6.60.xx'ten 7.00.00'a yükseltildikten ve HPE Synergy Composer uygulandıktan sonra düzeltmenin yeniden uygulanması gerektiğini ekliyor.
Güvenlik açığının ciddiyeti nedeniyle BT yöneticilerinin güncellemeyi hemen indirip yüklemesi gerekiyor.
Son zamanlarda yöneticilerin OneView for VMware vCenter'daki yüksek riskli bir güvenlik kusurunu güncellemelerle düzeltmesi gerekiyordu. Bu, saldırganların kullanıcı haklarını artırmasına ve komutları yönetici olarak yürütmesine olanak tanıdı. Apache HTTP sunucusu gibi üçüncü taraf yazılımların sağlanmasına rağmen, 2024'ün başlarında HPE OneView'da da kritik güvenlik açıkları ortaya çıktı.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın