“用指尖改变世界”
由惠普在2015年末拆分成立的慧与公司(Hewlett Packard Enterprise,HPE)已经发布了一个安全补丁,用以解决其远程管理工具HPE Integrated Lights-Out 3(iLO 3)中存在的安全漏洞(CVE-2017-8987)。
iLO卡具有独立的网络连接(即自己的IP地址),用于远程管理ProLiant服务器。借助iLO的远程管理能力,用户能够像在现场操作一样对ProLiant服务器进行异地管理,从而节省差旅成本、提高工作效率,以延长系统的正常运行时间。
IT安全解决方案供应商Rapid7公司的研究人员在2017年9月份发现了iLO 3中的漏洞,该问题被描述为“高严重性”,并获得了8.6的CVSS基本评分。
远程攻击者可以利用此漏洞发起拒绝服务(DoS)攻击,这可能会在某些情况下给数据中心造成严重问题。
根据Rapid7的描述,有几种HTTP请求方法会导致运行固件版本v1.88的iLO3设备在10分钟内以多种方式停止响应:
SSH:开放会话将无响应,新的SSH会话将不会建立;
门户网站(Web portal):用户无法登录到门户网站,登录页面将无法成功加载。
Rapid7表示,他们并没有针对iLO 5进行测试。并表示,以下四种调用方法也会触发拒绝服务:
curl -X OPTIONS hp-ilo-3.testing.your-org.com
curl -X PROPFIND hp-ilo-3.testing.your-org.com
curl -X PUT hp-ilo-3.testing.your-org.com
curl -X TRACE hp-ilo-3.testing.your-org.com
慧与公司在2月22日公开披露了这个漏洞,并提醒用户升级到HPE支持中心提供的iLO 3(V1.89)。另外,固件版本1.8、1.82、1.85和1.87)以及iLO 4(v2.55)不受影响。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
领取专属 10元无门槛券
私享最新 技术干货