ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

HPE Edgeline Infrastructure Management Softwareに脆弱性 CVE-2020-7199

HPE Edgeline Infrastructure Management Softwareに脆弱性 CVE-2020-7199が発見されたそうです。

 

エッジデバイスの管理ソリューション「HPE Edgeline Infrastructure Management Software(EIM)」にリモートより悪用されるおそれがある深刻な脆弱性が判明したとのこと。

 

以下は抜粋です。

 

同製品は「HPE Edgeline Infrastructure Manager」としても知られる製品。同製品において認証をバイパスされ、コマンドを実行される脆弱性「CVE-2020-7199」が明らかとなったもの。

特権を取得されるおそれがあるほか、サービス拒否、構成の変更などに悪用されるおそれがある。共通脆弱性評価システムである「CVSSv3.1」のスコアは「9.8」で、「クリティカル(Critical)」とレーティングされている。

同社は同脆弱性の判明を受け、修正版となる「同1.21」をリリース。できるだけ早く対応するよう利用者へ注意を呼びかけている。

 

情報元はこちら。

 

エッジ管理製品「HPE EIM」に深刻な脆弱性 - 早急に対応を

https://www.security-next.com/121470

 

 

メーカーの詳細な情報はこちら。

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbgn04063en_us

 


セキュリティ速報
ドキュメントID: hpesbgn04063en_us

バージョン: 1

HPESBGN04063 rev.1-HPE Edgeline Infrastructure Manager、リモート認証バイパス
注意:このセキュリティ情報の情報は、できるだけ早く対処する必要があります。
リリース日: 2020-11-30

最終更新日: 2020-12-01

潜在的なセキュリティへの影響: リモート:認証バイパス

出典: Hewlett Packard Enterprise、HPE製品セキュリティ対応チーム

 

脆弱性の概要
セキュリティの脆弱性は、HPE Edgeline Infrastructure Manager(HPE Edgeline Infrastructure Management Softwareとも呼ばれます)で確認されています。この脆弱性はリモートで悪用され、リモート認証をバイパスして任意のコマンドを実行し、特権アクセスを取得し、サービス拒否を引き起こし、構成を変更する可能性があります。

参照: CVE-2020-7199

 

サポートされているソフトウェアバージョン*:影響を受けるバージョンのみがリストされています。
HPEEdgelineインフラストラクチャ管理ソフトウェア-1.21より前

 

解決
HPEは、HPE Edgeline Infrastructure Managerの脆弱性を解決するために、以下のソフトウェアアップデートを利用できるようにしました。

最新のHPEEdgeline Infrastucture Managerリリースをダウンロードするには、HPEサポートセンターにアクセスしてください 。

 

HPE Edgeline InfrastructureManagerバージョン1.21以降。