Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/09/2018
Múltiples vulnerabilidades en productos Micro Focus
Micro Focus ofrece una suite de monitorización y gestión de red, servicios cloud y virtualización que permite realizar operaciones de forma masiva para una infraestructura concreta.Se han reportado dos vulnerabilidades con criticidad media y alta en varios prodcutos del fabricante Micro Focus.
Si la explotación de las mismas resulta exitosa un atacante puede ejecutar código de forma remota.
Dada la naturaleza de estos productos estando destinados a control de infraestructuras de servidores, servicios cloud y red es importante aplicar los parches proporcionados por el fabricante lo antes posible.
Sistemas Afectados:- Network Operations Management (NOM) Suite 2017.11, 2018.02 y 2018.05
- Micro Focus Service Management Automation (SMA) 2017.11, 2018.02, 2018.05
- Micro Focus Data Center Automation Containerized (DCA) suite desde la 2017.01 hasta la 2018.05 (incluida)
- Micro Focus Operations Bridge containerized suite 2018.05. Componente: Autopass License server version 10.6.0 e inferiores
- Micro Focus Hybrid Cloud Management containerized suites HCM2017.11 HCM2018.02 HCM2018.05
- Micro Focus Network Virtualization con licencia flotante, usando cualquier version que utilice APLS anterior a la 10.7
- Micro Focus Unified Functional Testing con licencia flotante, usando cualquier versión que utilice APLS anterior a la 10.7
- Micro Focus Service Virtualization con licencia flotante, usando cualquer versión que utilice APLS anterior a la 10.7
CVE-2018-6499, CVE-2018-6498
Solución:- MicroFocus recomienda reemplazar las versiones 2017.11, 2018.02 y 2018.05 de NOM Suite CDF por la versión 2018.08
- Para SMA 2017.11 aplicar el parche KM03210103
- Para SMA 2018.05 aplicar el parche KM03204500
- Para SMA 2018.02 aplicar el parche KM03146621
- Actualizar su producto DCA Containerized a DCA Containerized 2018.08 o superior, utilizando el script disponible en https://softwaresupport.softwaregrp.com/group/softwaresupport/search-result/-/facetsearch/document/LID/DCA_00001
- Para las versiones afectadas del servidor de licencias Autopass, aplicar el parche OpsBridge Suite 2018.05.001 (OPSB_00001) https://softwaresupport.softwaregrp.com/group/softwaresupport/search-result/-/facetsearch/document/LID/OPSB_00001.
- Para la vulnerabilidad de Micro Focus Hybrid Cloud Managemed containerized suites se han publicado una serie de recomendaciones disponibles en https://softwaresupport.softwaregrp.com/km/KM03235997
-
Para Micro Focus Network Virtualization (NV) con licencias flotantes, Micro Focus Unified Functional Testing (UFT) con licencias flotantes y Micro Focus Service Virtualization (SV) con licencias flotantes, actualizar el componente APLS a la última versión (10.7 y superior) https://marketplace.microfocus.com/itom/content/autopass-license-server