PT-2014-25: Переполнение буфера в стеке в HP iLO
Уязвимое ПО
HP Integrated Lights-Out 4 (iLO 4)
Версия: 2.02 и более ранняя
HP Integrated Lights-Out 2 (iLO 2)
Версия: 2.26 и более ранняя
HP Integrated Lights-Out Chassis Management (iLO CM)
Версия: 1.29 и более ранняя
Ссылки:
http://www8.hp.com/
Рейтинг опасности
Уровень опасности: Высокий
Воздействие: Выполнение произвольного кода
Вектор атаки: Удаленный
CVSS v2:
Base Score: 10
Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)
CVE: CVE-2014-7876
Описание программы
HP Integrated Lights-Out – механизм управления серверами в условиях отсутствия физического доступа к ним.
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Переполнение буфера в стеке" в HP iLO
Уязвимость позволяет удаленно выполнить произвольный код.
Решение
Установите последнюю версию приложения
Статус уведомления
22.09.2014 - Производителю отправлены детали уязвимости
17.03.2015 - Производитель выпустил исправление
17.11.2015 - Публикация уязвимости
Благодарности
Уязвимость обнаружил Александр Тляпов (Исследовательский центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2014-25
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04486432
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/