Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/09/2018

Múltiples vulnerabilitats en productes Micro Focus

Micro Focus ofereix una suite de monitoratge i gestió de xarxa, serveis núvol i virtualització que permet realitzar operacions de forma massiva per a una infraestructura concreta.

S'han reportat dues vulnerabilitats amb criticitat mitjana i alta en diversos productes del fabricant Micro Focus.

Si la seua explotació té èxit, un atacant pot executar codi de forma remota.

Atesa la naturalesa d'aquests productes per la seua destinació al control d'infraestructures de servidors, serveis núvol i xarxa, és important aplicar els pedaços proporcionats pel fabricant al més prompte possible.

Sistemes Afectats:

• Network Operations Management (NOM) Suite 2017.11, 2018.02 y 2018.05
• Micro Focus Service Management Automation (SMA) 2017.11, 2018.02, 2018.05
• Micro Focus Data Center Automation Containerized (DCA) suite desde la 2017.01 fins a la 2018.05 (inclosa)
• Micro Focus Operations Bridge containerized suite 2018.05. Componente: Autopass License server versió 10.6.0 i inferiors
• Micro Focus Hybrid Cloud Management containerized suites HCM2017.11 HCM2018.02 HCM2018.05
• Micro Focus Network Virtualization amb llicència flotant, que use qualsevol versió que utilitze APLS anterior a la 10.7 
• Micro Focus Unified Functional Testing amb llicència flotant, que use qualsevol versió que utilitze APLS anterior a la 10.7
• Micro Focus Service Virtualization amb llicència flotant, que use qualsevol versió que utilitze APLS anterior a la 10.7

Referències:

CVE-2018-6499, CVE-2018-6498

Solució:

• MicroFocus recomana reemplaçar les versions 2017.11, 2018.02 i 2018.05 de NOM Suite CDF per la versió 2018.08
• Per a SMA 2017.11 apliqueu el pedaç KM03210103
• Per a SMA 2018.05 apliqueu el pedaç KM03204500
• Per a SMA 2018.02 apliqueu el pedaç KM03146621
• Actualitzeu el producte DCA Containerized a DCA Containerized 2018.08 o superior, utilitzant l’script disponible en https://softwaresupport.softwaregrp.com/group/softwaresupport/search-result/-/facetsearch/document/LID/DCA_00001
• Per a les versions afectades del servidor de llicències Autopass, apliqueu el pedaç OpsBridge Suite 2018.05.001 (OPSB_00001)  https://softwaresupport.softwaregrp.com/group/softwaresupport/search-result/-/facetsearch/document/LID/OPSB_00001.
• Per a la vulnerabilitat de Micro Focus Hybrid Cloud Managemed containerized suites s'han publicat una sèrie de recomanacions disponibles en https://softwaresupport.softwaregrp.com/km/KM03235997

• Per a Micro Focus Network Virtualization (NV) amb llicències flotants, Micro Focus Unified Functional Testing (UFT) amb llicències flotants i Micro Focus Service Virtualization (SV) amb llicències flotants, actualitzeu el component APLS a l'última versió (10.7 i superior) https://marketplace.microfocus.com/itom/content/autopass-license-server

Notes: None

CSIRT-CV