Vor einer kritischen Sicherheitslücke in der proprietären Management-Software Integrated Lights-out 4 (iLO 4) warnt HP Nutzer seiner Proliant-Server. Unabhängig vom Betriebssystem stellt iLO Funktionen mit weitreichenden Systemrechten zur Verfügung, da sie in die Hardware eingebettet ist.

Angreifer können so die kritische Sicherheitslücke (CVE-2017-12542) missbrauchen, um sich aus der Ferne ohne Benutzerdaten über iLO anzumelden und Schadcode auszuführen.

Mit einer CVSS-Einstufung von 9.8 (CVSS v3) bzw 10.0 (CVSS v2) hat HP die Schwachstelle versehen. Von einem Mitarbeiter von Airbus Defense and Space CyberSecurity wurde sie entdeckt. Alle HP-Server, die eine iLO-4-Version, die älter als 2.53 ist, installiert haben, sind davon betroffen. Administratoren, die entsprechende Server betreiben, empfiehlt HP "umgehend zu handeln". Auf der Support-Seite ist ein Firmware-Update, das die Lücke schliesst, für iLO 4 erhältlich.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE