Hewlett Packard Enterprise (HPE) hat in den vergangenen Tagen drei Security-Bulletins veröffentlicht. Sie thematisieren fast durchweg kritische Sicherheitslücken in der webbasierten StoreServ Management Console (SSMC), in der Konsole AirWave Glass der Netzwerkverwaltungslösung AirWave von HPEs Tochterfirma Aruba sowie in der BlueData EPIC Software- und der Ezmeral Container-Plattform.

Ein viertes, schon etwas älteres Bulletin vom 12. Oktober 2020 befasst sich mit mehreren Remote Code Execution-Lücken im Intelligent Management Center (iMC) PLAT. In allen Fällen gibt es Patches und/oder neue Software-Versionen, die angesichts des Schweregrads der Sicherheitslücken zeitnah eingespielt werden sollten.

Unbefugte Remote-Zugriffe möglich

Die Lücke mit der höchsten Risikoeinstufung, nämlich einem CVSS-v3-Score von 10.0, steckt in der StoreServ Management Console (SSMC). Laut HPEs Beschreibung könnten entfernte Angreifer via CVE-2020-7197 Authentifizierungsmechanismen vollständig umgehen, um die Kontrolle über verwundbare Systeme zu übernehmen. Die Angriffskomplexität sei gering, bestehende Zugriffsrechte oder Interaktionen seitens legitimer Nutzer nicht erforderlich. Ein Update auf SMC 3.7.1.1 schließe die in früheren Versionen vorhandene Lücke.

Die in den übrigen Bulletins beschriebenen Sicherheitslücken kommen CVE-2020-7197 mit CVSS-v3-Scores ab 8.8 bis 9.9 aufwärts in punkto Gefahrenpotenzial sehr nahe. Auch sie sind aus der Ferne ausnutzbar, um unter anderem bestehende Zugriffsrechte zu erweitern, beliebigen Code auszuführen oder unbefugt auf Informationen zuzugreifen.

Verwundbare Versionen und Updates

Angaben zu verwundbaren Versionen und verfügbaren Updates sind den nachfolgend verlinkten Security Bulletins zu entnehmen:

(ovw)