HPE ha publicado un boletín de seguridad para 12 nuevas vulnerabilidades, 1 crítica, 4 altas, 5 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar la denegación del servicio (DoS) o la perdida de la confidencialidad entre otros.
Análisis
La vulnerabilidad crítica CVE-2021-3520 es causada por un fallo en lz4 de HPE BackBox Software. Un atacante que envíe un archivo arbitrario a una aplicación enlazada con lz4 podría ser capaz de desencadenar un desbordamiento de enteros, provocando la llamada a la función memmove() con un argumento de tamaño negativo, causando una escritura fuera de límites y/o un fallo.
También se puede consultar en las referencias la información sobre las vulnerabilidades altas: CVE-2024-28757, CVE-2023-5363, CVE-2023-52425, CVE-2022-43680.
Recursos afectados
- HPE NonStop QRSTR software T1137 – T1137V01, T1137V01^AAA a AAD.
- HPE BackBox Software T0954 – T0954V04, T0954V04^AAA a AAW, T0954V04^AAA a AAV – T0954V04^AAA a AAW.
Recomendaciones
- Actualizar HPE NonStop QRSTR a las versiones SPR T0954V04^AAX – TCF.
- Actualizar HPE BackBox Software a la versión SPR T0954V04^AAX.
Referencias