/ Security / Lücke in HPE Operations Orchestration ermöglicht Remote Code Execution

Lücke in HPE Operations Orchestration ermöglicht Remote Code Execution

Moritz Rosenfeld on September 3, 2017 - 8:07 am in Security

Die Software Operations Orchestration erlaubt in allen Versionen vor 10.80 die Codeausführung aus der Ferne. Hewlett Packard Enterprise rät zum Update. Auch für zwei Performancetest-Tools des Herstellers stehen Aktualisierungen bereit.

Die Prozessautomatisierungsplattform Operations Orchestration von Hewlett Packard Enterprise (HPE) weist in allen Versionen vor 10.80 eine Sicherheitslücke auf. Sie trägt die Bezeichnung CVE-2017-8994 und ermöglicht unter bestimmten Voraussetzungen die Ausführung von Schadcode aus der Ferne. Das durch die Lücke entstehende Risiko ist “hoch” (CVSS-Score 7.5). Laut HP Enterprise kann sie durch ein Update auf Version 10.80 behoben werden.

In zwei weiteren HPE-Produkten – nämlich in den Performancetest-Tools LoadRunner und Performance Center – befindet sich eine auf die Kennung CVE-2016-2183 getaufte Schwachstelle mittleren Schweregrads. Aufgrund der Nutzung eines veralteten Verschlüsselungsverfahrens könnten versierte Angreifer TLS-verschlüsselte Daten mitlesen. Ein von HPE bereitgestelltes Update für beide Programme vereitelt den auch als Sweet32 bekannten Angriff vollständig. (ovw)

Read more on: Source

Comments are disabled