PT-2014-25: Переполнение буфера в стеке в HP iLO

Уязвимое ПО

HP Integrated Lights-Out 4 (iLO 4)
Версия: 2.02 и более ранняя

HP Integrated Lights-Out 2 (iLO 2)
Версия: 2.26 и более ранняя

HP Integrated Lights-Out Chassis Management (iLO CM)
Версия: 1.29 и более ранняя

Ссылки:
http://www8.hp.com/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Выполнение произвольного кода
Вектор атаки: Удаленный

CVSS v2:
Base Score: 10
Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

CVE: CVE-2014-7876

Описание программы

HP Integrated Lights-Out – механизм управления серверами в условиях отсутствия физического доступа к ним.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Переполнение буфера в стеке" в HP iLO

Уязвимость позволяет удаленно выполнить произвольный код.

Решение

Установите последнюю версию приложения

Статус уведомления

22.09.2014 - Производителю отправлены детали уязвимости
17.03.2015 - Производитель выпустил исправление
17.11.2015 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Александр Тляпов (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2014-25
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04486432

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/