Hewlett Packard Enterprise (HPE) выпустила экстренное обновление безопасности для своего программного обеспечения управления ИТ-инфраструктурой HPE OneView. Компания устранила критическую брешь, которая получила официальный идентификатор CVE-2025-37164. Согласно системе оценки уязвимостей CVSS, данной проблеме присвоен максимальный балл — 10.0, что свидетельствует о чрезвычайной серьезности угрозы для корпоративных систем.
Выявленная уязвимость классифицируется как возможность удаленного выполнения кода (RCE). Основная опасность заключается в том, что для успешной атаки злоумышленнику не требуется проходить процедуру аутентификации. Это означает, что удаленный неавторизованный пользователь потенциально способен перехватить контроль над системой. На данный момент в отчетах по безопасности не зафиксировано случаев эксплуатации данного бага «в дикой природе».
Под угрозой находятся все версии программного обеспечения HPE OneView, выпущенные до версии 11.00. Основным методом устранения уязвимости является обновление системы до исправленной версии 11.00. Вендор настоятельно рекомендует администраторам выполнить апдейт в кратчайшие сроки, чтобы исключить риски компрометации инфраструктуры.
Для ситуаций, когда немедленный переход на новую мажорную версию невозможен, HPE подготовила временные исправления (хотфиксы). Они доступны для широкого диапазона версий OneView — от 5.20 до 10.20. Отдельные пакеты исправлений были выпущены для виртуального устройства OneView, а также для аппаратного компонента управления HPE Synergy Composer2.
Существуют строгие эксплуатационные ограничения, касающиеся установки этих исправлений. Хотфикс необходимо применить повторно в двух конкретных сценариях: после обновления системы с версии 6.60 (или более поздней) до версии 7.00.00, а также после любых операций по пересозданию образа (reimaging) HPE Synergy Composer. Игнорирование этого требования вернет систему в уязвимое состояние.
Данный инцидент продолжает серию обновлений безопасности от HPE. Ранее в июне компания уже выпускала патчи для системы резервного копирования и дедупликации данных StoreOnce. То обновление закрывало сразу восемь уязвимостей, которые также могли привести к обходу аутентификации и удаленному выполнению кода злоумышленниками.
Предыдущее значимое обновление HPE OneView до версии 10.00 было сфокусировано на устранении недостатков в сторонних компонентах программного обеспечения. В частности, разработчики исправляли ошибки безопасности, найденные в веб-сервере Apache HTTP Server и контейнере сервлетов Apache Tomcat, интегрированных в экосистему OneView.
Изображение носит иллюстративный характер
Выявленная уязвимость классифицируется как возможность удаленного выполнения кода (RCE). Основная опасность заключается в том, что для успешной атаки злоумышленнику не требуется проходить процедуру аутентификации. Это означает, что удаленный неавторизованный пользователь потенциально способен перехватить контроль над системой. На данный момент в отчетах по безопасности не зафиксировано случаев эксплуатации данного бага «в дикой природе».
Под угрозой находятся все версии программного обеспечения HPE OneView, выпущенные до версии 11.00. Основным методом устранения уязвимости является обновление системы до исправленной версии 11.00. Вендор настоятельно рекомендует администраторам выполнить апдейт в кратчайшие сроки, чтобы исключить риски компрометации инфраструктуры.
Для ситуаций, когда немедленный переход на новую мажорную версию невозможен, HPE подготовила временные исправления (хотфиксы). Они доступны для широкого диапазона версий OneView — от 5.20 до 10.20. Отдельные пакеты исправлений были выпущены для виртуального устройства OneView, а также для аппаратного компонента управления HPE Synergy Composer2.
Существуют строгие эксплуатационные ограничения, касающиеся установки этих исправлений. Хотфикс необходимо применить повторно в двух конкретных сценариях: после обновления системы с версии 6.60 (или более поздней) до версии 7.00.00, а также после любых операций по пересозданию образа (reimaging) HPE Synergy Composer. Игнорирование этого требования вернет систему в уязвимое состояние.
Данный инцидент продолжает серию обновлений безопасности от HPE. Ранее в июне компания уже выпускала патчи для системы резервного копирования и дедупликации данных StoreOnce. То обновление закрывало сразу восемь уязвимостей, которые также могли привести к обходу аутентификации и удаленному выполнению кода злоумышленниками.
Предыдущее значимое обновление HPE OneView до версии 10.00 было сфокусировано на устранении недостатков в сторонних компонентах программного обеспечения. В частности, разработчики исправляли ошибки безопасности, найденные в веб-сервере Apache HTTP Server и контейнере сервлетов Apache Tomcat, интегрированных в экосистему OneView.
