Inicio / Alerta Temprana / Avisos Seguridad / Ejecución remota de código en SimpliVity OmniStack y en OmniCube de HPE

Ejecución remota de código en SimpliVity OmniStack y en OmniCube de HPE

Fecha de publicación: 
16/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • HPE SimpliVity 2600 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • HPE SimpliVity 380 Gen10, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • HPE SimpliVity 380 Gen10 G, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • HPE SimpliVity 380 Gen10 H, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • HPE SimpliVity 380 Gen9, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • HPE SimpliVity 325, depende de la versión ESXi, consulte la guía de interoperabilidad;
  • SimpliVity OmniStack for Cisco, HPE OmniStack 3.7.10 U1 o anterior;
  • SimpliVity OmniStack for Dell, HPE OmniStack 3.7.10 U1 o anterior;
  • SimpliVity OmniStack for Lenovo, HPE OmniStack 3.7.10 U1 o anterior;
  • SimpliVity OmniCube, HPE OmniStack 3.7.10 U1 o anterior.
Descripción: 

Se ha publicado una vulnerabilidad crítica que afecta a varios productos de HPE y que podría permitir a un atacante la ejecución remota de código.

Solución: 
  • Para ESXi versión 6.5, aplicar ESXi 6.5 EP 23;
  • para ESXi versión 6.7, aplicar ESXi 6.7 P04;
  • para ESXi versión 7.0, aplicar ESXi 7.0 Update 1b.
Detalle: 

Una vulnerabilidad de uso de memoria previamente liberada, presente en los sistemas que se ejecutan en varias versiones del hipervisor ESXi, puede afectar a los sistemas HPE SimpliVity que se ejecutan en cualquiera de las versiones afectadas, y podría permitir a un atacante que resida en la red de gestión y que tenga acceso al puerto 427, en el host ESXi, realizar una ejecución remota de código. Se ha asignado el identificador CVE-2020-3992 para esta vulnerabilidad.

Encuesta valoración