In der Management-Software Integrated Lights-out 4 (iLO 4) von HP-Proliant-Servern klafft eine kritische Sicherheitslücke, über welche sich potenziell Schadcode mit erhöhten Rechten ausführen lässt. Die Lücke betrifft sämtliche HP-Server auf denen iLO 4 mit Version 2.53 und älter installiert ist.
HP iLO ermöglicht das Verwalten von Servern, auch wenn diese über die konventionelle Verwaltungsschnittstellen (Netzwerk, Konsole, etc.) nicht mehr erreichbar sind. Durch die Integration direkt in die Hardware bzw. über Treiber tief in die Betriebssysteme verfügt ILO über weitreichende Möglichkeiten der Einflussnahme auch ohne explizite Rechte oder eine Benutzeranmeldung. Genau dieser Umstand macht die Lücke mit der Bezeichnung CVE-2017-12542 daher auch so gefährlich und das Beheben kritisch.
Die Lücke schliessen
Wir empfehlen das Update auf die aktuelle iLO Firmwareversion 2.54, welche über folgende Supportseite offiziell bezogen werden kann: http://www.hpe.com/support/ilo4 Das Firmware-Update von iLO ist auch im laufenden Betrieb über das iLO-eigene Management-Portal möglich. Bei kritischen Systemen empfehlen wir trotzdem das Upgrade nur an einer Randzeit- oder Downtime durchzuführen.
Unsere Kunden mit Leuchter IT Fix plus Service Level Agreement hatten übrigens keine Sorgen oder Aufwand diesbezüglich. Die Lücke wurde von uns innerhalb eines Tages automatisch gestopft.
Auch zukünftig informiert bleiben
Diese Information haben die Abonnenten unseres Security Alert automatisch erhalten. Senden sie eine E-Mail an jonas.stalder@leuchterag.ch wenn Sie zukünftig auch umgehend über relevante Security Alerts informiert werden wollen.
