HPE修補風險評分10.0的容器平臺及儲存軟體重大漏洞

HP Enterprise（HPE）上周發布二則安全公告，分別針對容器平臺以及儲存產品修補風險評分達10分的重大漏洞。

首先是編號CVE-2020-7196的漏洞，影響BlueData EPIC軟體平臺及HPE Ezmeral 容器平臺。BlueData EPIC軟體平臺可讓企業容器中部署大數據和機器學習分析環境。而HPE Ezmeral容器平臺則允許企業在資料中心、公雲、私有雲上部署容器應用。

漏洞發生原因，是兩個產品都使用了不安全的方法來處理Keberos密碼，可能導致密碼被駭客攔截或取得。而且兩個產品還不慎在URL (/bdswebui/assignusers/)的來源檔案中，顯示kdc_admin_password 。

這項漏洞CVSS 3.0風險評分高達9.9。受影響的產品版本分別為BlueData EPIC 軟體平臺4.0及之前版本，以及HPE Ezmeral容器平臺5.0。

至於CVE-2020-7197則影響HPE 3PAR儲存管理及報表控制臺StoreServ Management Console (SSMC) 3.7.0.0之前版本。HPE指出，這個軟體為一節點外多層次管理Web App，本漏洞讓遠端駭客得以繞過驗證，儘管HPE指其和代管的儲存陣列資料切開，但這項漏洞風險評分仍然來到CVSS 3.1最高分的10.0。

HPE已經釋出完成修補的BlueData EPIC軟體平臺4.0版及HPE Ezmeral容器平臺5.1版，但BlueData EPIC 4.0需要用戶主動索取，HPE的安全公告頁面呼籲用戶應聯絡HPE人員以修補漏洞。HPE同時也釋出新版HPE 3PAR StoreServ Management Console 3.7.1.1提供用戶下載。