Kritische Sicherheitslücke in HPE iLO

Kritische Sicherheitslücke in HPE iLO

Die Management-Software Integrated Lights-out 4 (iLO 4) von HP-Proliant-Servern enthält eine Sicherheitslücke, über die Angreifer aus der Ferne Schadcode ausführen können, ohne sich anmelden zu müssen. HP warnt Nutzer seiner Proliant-Server vor einer kritischen Sicherheitslücke in der proprietären Management-Software Integrated Lights-out 4 (iLO 4). Da iLO in die Hardware eingebettet ist, stellt es Funktionen mit weitreichenden Systemrechten unabhängig vom Betriebssystem zur Verfügung. Das macht die Sicherheitslücke (CVE-2017-12542 ) besonders kritisch, denn Angreifer können sie missbrauchen, um sich aus der Ferne ohne Benutzerdaten via iLO anzumelden und Schadcode auszuführen.
Die Schwachstelle betrifft alle HP-Server, die eine iLO-4-Version, die älter als 2.53 ist, installiert haben. HP empfiehlt Administratoren, die entsprechende Server betreiben, „umgehend zu handeln“. Ein Firmware-Update, das die Lücke stopft, ist auf der Support-Seite für iLO 4 erhältlich.

Gerne prüfen wir, ob Ihre Systeme betroffen sind und übernehmen auf Wunsch das Sicherheitsupdate für Sie. Sprechen Sie uns gerne an.

Quelle: heise online, 24.08.17 um 16.48 Uhr, Fabian A. Scherschel, https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-in-HPE-iLo-So-schnell-wie-moeglich-handeln-3811873.html

Sicherheitswarnung von HP: http://h20565.www2.hpe.com/hpsc/doc/public/display?docId=hpesbhf03769en_us
Update HP: http://h20566.www2.hpe.com/hpsc/swd/public/readIndex?sp4ts.oid=5228286