近日,Hewlett Packard Enterprise (HPE) 公开了HPE Systems Insight Manager (SIM)软件专用版Windows 和Linux 版本的一个0 day安全漏洞。HPE SIM软件是多HPE 服务器、存储和网络产品的远程支持自动化解决方案。
漏洞概述
该0 day漏洞是一个远程代码执行漏洞,CVE编号为CVE-2020-7200,CVSS评分为9.8分,为高危漏洞。漏洞影响HPE Systems Insight Manager (SIM) 7.6.x版本。攻击者利用该漏洞可以在无需用户交互的情况下实现权限提升,并完成其他攻击。
漏洞产生的原因是由于没有对用户提供的数据进行有效性验证,可能会导致不可信数据的反序列化,使得攻击者可以利用其在服务器上执行有漏洞的代码。
HPE在安全公告中并没有明确确认该0 day漏洞是否存在在野利用。
由于HPE SIM支持Linux 和Windows 操作系统,但目前HPE 只针对Windows 系统发布了缓解措施来拦截攻击,并称正在修复该0 day漏洞。
缓解措施
HPE在安全公告中提出了漏洞的临时修复建议:禁用"Federated Search"和"Federated CMS Configuration"特征。使用HPE SIM管理软件的系统管理员必须按照如下步骤才能拦截CVE-2020-7200 攻击:
- mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul
安全公告称,阻止该远程代码执行漏洞的完整补丁将尽快发布。
本文翻译自:
https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/
自2020年11月以来,由于全球COVID-19病例持续增加,针对医疗保健组织的网络攻击...
2020年,平均每天监测到的最新恶意文件数量达到360,000,与去年相比,增长了5.2%...
最近,一份广东省深圳市中级人民法院的(2018)粤03民特719号民事裁定书(下称裁定...
区块链和大数据都是新一代信息技术,它们的概念不同,应用领域也有着一定的区别...
风险和交易是齐头并进的,虽然风险可能是当今市场的一部分,但更相关的问题是值...
1.年輕時我們喜歡夢想,希望,未來,財富,快樂這些詞以為這就是生活;成熟後,...
自2019年起,区块链被定义为核心技术自主创新重要突破口,2020年发改委将区块链...
在比特币白皮书中,对于交易过程的解释提及到了因不够信任而产生的双重支付问题...
1月21日,最高人民法院发布《关于人民法院在线办理案件若干问题的规定(征求意见...
区块链(blockchain)在虚拟货币(virtual coin)领域应用趋于平稳,现在日本IT相关...