首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

惠普远程管理工具iLO3曝安全漏洞 致服务器易遭受DoS攻击

“用指尖改变世界”

由惠普在2015年末拆分成立的慧与公司(Hewlett Packard Enterprise,HPE)已经发布了一个安全补丁,用以解决其远程管理工具HPE Integrated Lights-Out 3(iLO 3)中存在的安全漏洞(CVE-2017-8987)

iLO卡具有独立的网络连接(即自己的IP地址),用于远程管理ProLiant服务器。借助iLO的远程管理能力,用户能够像在现场操作一样对ProLiant服务器进行异地管理,从而节省差旅成本、提高工作效率,以延长系统的正常运行时间。

IT安全解决方案供应商Rapid7公司的研究人员在2017年9月份发现了iLO 3中的漏洞,该问题被描述为“高严重性”,并获得了8.6的CVSS基本评分

远程攻击者可以利用此漏洞发起拒绝服务(DoS)攻击,这可能会在某些情况下给数据中心造成严重问题。

根据Rapid7的描述,有几种HTTP请求方法会导致运行固件版本v1.88的iLO3设备在10分钟内以多种方式停止响应:

SSH:开放会话将无响应,新的SSH会话将不会建立;

门户网站(Web portal):用户无法登录到门户网站,登录页面将无法成功加载。

Rapid7表示,他们并没有针对iLO 5进行测试。并表示,以下四种调用方法也会触发拒绝服务

curl -X OPTIONS hp-ilo-3.testing.your-org.com

curl -X PROPFIND hp-ilo-3.testing.your-org.com

curl -X PUT hp-ilo-3.testing.your-org.com

curl -X TRACE hp-ilo-3.testing.your-org.com

慧与公司在2月22日公开披露了这个漏洞,并提醒用户升级到HPE支持中心提供的iLO 3(V1.89)。另外,固件版本1.8、1.82、1.85和1.87)以及iLO 4(v2.55)不受影响

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180305B0AKD400?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券