HPE ha publicat un butlletí de seguretat per a 12 noves vulnerabilitats, 1 crítica, 4 altes, 5 mitjanes i 2 baixes. L’explotació d’estes vulnerabilitats podria provocar la denegació del servici (DoS) o la pèrdua de la confidencialitat, entre d’altres.
Anàlisi
La vulnerabiltat crítica CVE-2021-3520 és causada per una fallada en lz4 d’HPE BackBox Programari. Un atacant que envie un arxiu arbitrari a una aplicació enllaçada amb lz4 podria ser capaç de desencadenar un desbordament d’enters, provocar una crida a l’acció a la funció memmove() amb un argument de grandària negativa, i causar una escriptura fora de límits i/o una fallada.
També es pot consultar en les referències la informació sobre les vulnerabilitats altes: CVE-2024-28757, CVE-2023-5363, CVE-2023-52425, CVE-2022-43680.
Recursos afectats
- HPE NonStop QRSTR programari T1137 – T1137V01, T1137V01^AAA a AAD.
- HPE BackBox Programari T0954 – T0954V04, T0954V04^AAA a AAW, T0954V04^AAA a AAV – T0954V04^AAA a AAW.
Recomanacions
- Actualitzar HPE NonStop QRSTR a les versions SPR T0954V04^AAX – TCF.
- Actualitzar HPE BackBox Programari a la versió SPR T0954V04^AAX.
Referències