Múltiples vulnerabilidades en productos HPE

HPE ha publicado un boletín de seguridad para 12 nuevas vulnerabilidades, 1 crítica, 4 altas, 5 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar la denegación del servicio (DoS) o la perdida de la confidencialidad entre otros.

Análisis

La vulnerabilidad crítica CVE-2021-3520 es causada por un fallo en lz4 de HPE BackBox Software. Un atacante que envíe un archivo arbitrario a una aplicación enlazada con lz4 podría ser capaz de desencadenar un desbordamiento de enteros, provocando la llamada a la función memmove() con un argumento de tamaño negativo, causando una escritura fuera de límites y/o un fallo.

También se puede consultar en las referencias la información sobre las vulnerabilidades altas: CVE-2024-28757, CVE-2023-5363, CVE-2023-52425, CVE-2022-43680.

Recursos afectados

    • HPE NonStop QRSTR software T1137 – T1137V01, T1137V01^AAA a AAD.
    • HPE BackBox Software T0954 – T0954V04, T0954V04^AAA a AAW, T0954V04^AAA a AAV – T0954V04^AAA a AAW.

Recomendaciones

    • Actualizar HPE NonStop QRSTR a las versiones SPR T0954V04^AAX – TCF.
    • Actualizar HPE BackBox Software a la versión SPR T0954V04^AAX.

Referencias