Ejecución remota de código en SimpliVity OmniStack y en OmniCube de HPE

Múltiples vulnerabilidades en productos Juniper

CVE-2020-3992

Descripción

Se ha publicado una vulnerabilidad crítica que afecta a varios productos de HPE y que podría permitir a un atacante la ejecución remota de código.

Una vulnerabilidad de uso de memoria previamente liberada, presente en los sistemas que se ejecutan en varias versiones del hipervisor ESXi, puede afectar a los sistemas HPE SimpliVity que se ejecutan en cualquiera de las versiones afectadas, y podría permitir a un atacante que resida en la red de gestión y que tenga acceso al puerto 427, en el host ESXi, realizar una ejecución remota de código.

Recursos afectados

• SimpliVity OmniStack for Cisco, HPE OmniStack 3.7.10 U1 o anterior.
• SimpliVity OmniStack for Dell, HPE OmniStack 3.7.10 U1 o anterior.
• SimpliVity OmniStack for Lenovo, HPE OmniStack 3.7.10 U1 o anterior.
• SimpliVity OmniCube, HPE OmniStack 3.7.10 U1 o anterior.
• HPE SimpliVity 2600 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad.
• HPE SimpliVity 380 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad.
• HPE SimpliVity 380 Gen10 G, depende de la versión ESXi, consulte la guía de interoperabilidad.
• HPE SimpliVity 380 Gen10 H, depende de la versión ESXi, consulte la guía de interoperabilidad.
• HPE SimpliVity 380 Gen9, depende de la versión ESXi, consulte la guía de interoperabilidad.
• HPE SimpliVity 325, depende de la versión ESXi, consulte la guía de interoperabilidad.

Solución

• Para ESXi versión 6.5, aplicar ESXi 6.5 EP 23.
• Para ESXi versión 6.7, aplicar ESXi 6.7 P04.
• Para ESXi versión 7.0, aplicar ESXi 7.0 Update 1b.

Referencias

HPE SimpliVity OmniStack 4.1.0 Interoperability Guide
HPESBST04094 rev.1 – HPE SimpliVity OmniStack and OmniCube, Remote Code Execution

Artículos relacionados

Múltiples vulnerabilidades en productos Juniper

Etiqueta Seresco