HPE 和 NetApp 警告存在严重的开源漏洞 媒体
HPE 警告 OneView 平台存在重大漏洞
关键总结
Hewlett Packard EnterpriseHPE于周三发出关键警报,指出其 OneView 基础设施管理平台存在一个“使用后释放”useafterfree漏洞。该漏洞允许远程攻击者在目标系统上执行任意代码,泄露数据或制造拒绝服务DoS攻击的条件。该漏洞与第三方代码 Expat XML 解析器有关,并被标记为 CVE202240674,HPE 为该漏洞打分 98,严重性极高。涉及的其他供应商如 NetApp 和 IBM 也发布了相应的警告,针对同样的漏洞进行防范。
重要信息概述
HPE 的警告指出,漏洞会影响多个版本的 OneView,尤其是在 81 之前的版本。虽然尚未发现漏洞在野外被利用的公开报告,但修复措施的推迟可能导致敏感信息的泄露或 Denial of Service 攻击。
关键点描述漏洞使用后释放漏洞CVE202240674严重性评级98极高受影响产品HPE OneView 81 之前版本影响的其他供应商NetApp、IBM漏洞性质允许远程执行任意代码漏洞背景
此漏洞伴随 Expat XML 解析器的使用,该解析器是一个用 C 编写的流式 XML 解析库。该库非常适合处理过大无法完全载入内存的文件。HPE 表示,Expat 被 OneView 用于解析不同的 XML 文件,但只影响版本在 81 之前的系统。
HPE 解释道: 该漏洞可能让攻击者进行拒绝服务攻击,或者执行任意代码。NetApp 和 IBM 都已针对这个漏洞加强了安全防护,并建议用户尽快升级受影响的产品。
安全挑战
开源代码漏洞对应用开发AppDev和应用安全AppSec团队构成持续挑战,导致了一些重大的安全问题,例如 Log4j 漏洞。IT 商业领袖如 LogRhythm 的安全主管 Matt Sanders 开始提出疑问:“我们是否需要规范开源代码的安全性?”
免费国际加速器下载上周,NetApp 向用户发出警告,称 Expat 漏洞影响了其 11 种企业级产品,并正在调查其他产品是否受影响。此外,IBM 也警告其 Tivoli 监控解决方案受此漏洞影响。
根据 OWASP 的介绍,使用后释放漏洞是由于释放后继续使用指针导致程序崩溃。这些漏洞若成功利用,NetApp 警告称,可能导致敏感信息的泄露、数据的增删或修改,甚至造成服务中断。
安全研究员 Rhodri James 被认为是该漏洞的发现者。NIST 对此漏洞进行了多次更新,并表示仍在重新分析中,部分信息尚未公开。
结论
HPE 的 OneView 平台当前面临的严重安全风险再一次提示我们关注第三方库的安全性。开源代码虽然灵活,但其潜在的安全隐患不容忽视,及时更新和慎重依赖外部库是保护信息安全的关键策略。对Expat 及受其影响的产品进行更严格的监控和管理,将是后续工作的重点。