Обойти аутентификацию Hewlett Packard iLO 4 можно с помощью 29 букв «A» - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 19 апрель 2023, 08:23
Причины популярности камеры GoPro и особенности современной техники
Популярные статьи
  • 24 апрель 2024, 00:00
Немцы приспособили балконы для солнечных панелей — число балконных ферм в Германии превысило 400 тыс. - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
       
  • 24 март 2016, 17:40
Написание эффективного кода
  • 24 март 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 19 апрель 2023, 08:23
Причины популярности камеры GoPro и особенности современной техники
  • 15 март 2020, 12:20
? ССЫЛКА НА Maestro - «Видео уроки - CSS»
7-07-2018, 06:00
Обойти аутентификацию Hewlett Packard iLO 4 можно с помощью 29 букв «A» - «Новости»
Рейтинг:
Категория: Новости

Группа из трех ИБ-специалистов рассказала, что еще в начале 2017 года им удалось обнаружить опасный баг CVE-2017-12542, затрагивающий решения Hewlett Packard Integrated Lights-Out 4 (HP iLO 4). В силу простоты эксплуатации проблема получила 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS.


Integrated Lights-Out — это проприетарный механизм управления серверами в условиях отсутствия физического доступа к ним. Компания Hewlett Packard применяет данный продукт практически для всех своих серверов, хотя он также может использовать с обычными компьютерами, так как второе поколение представляет собой плату расширения с интерфейсом PCI.


Исследователи рассказывают, что найденную ими проблему можно использовать удаленно, через интернет, а значит любые решения iLO «смотрящие» в онлайн оказались в большой опасности. Баг позволял обойти аутентификацию и получить доступ к консоли HP iLO, что впоследствии позволяло извлечь пароли в формате обычного текста, выполнить вредоносный код и даже подменить прошивку iLO.


Хуже того, никаких сложных манипуляций для эксплуатации уязвимости не требовалось. Было достаточно простого запроса cURL, содержащего 29 букв «A»:


curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"


Ниже можно увидеть демонстрацию такого обхода аутентификации iLO и извлечение локального пароля открытым текстом.




К счастью, пользователям iLO не стоит начинать паниковать, так как представителей HP уведомили о баге в том же 2017 году, и с помощью экспертов CERT уязвимость уже была устранена. Патч для CVE-2017-12542 был выпущен в августе 2017 года, с обновлением прошивки iLO 4 до версии 2.54. Таким образом, уязвимыми перед багом являются лишь HP iLO 4, работающие на прошивке 2.53 и ниже. На другие поколения продуктов (iLO 5, iLO 3 и так далее) уязвимость не распространяется.


Из-за серьезности проблемы и легкости ее эксплуатации исследователи лишь недавно представили доклад о баге на конференциях ReCon Brussels и SSTIC 2018. Proof-of-concept эксплоит для CVE-2017-12452 теперь опубликован в открытом доступе (найти его можно здесь и здесь), а также уже доступен модуль для Metasploit.


Источник новостиgoogle.com

Группа из трех ИБ-специалистов рассказала, что еще в начале 2017 года им удалось обнаружить опасный баг CVE-2017-12542, затрагивающий решения Hewlett Packard Integrated Lights-Out 4 (HP iLO 4). В силу простоты эксплуатации проблема получила 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Integrated Lights-Out — это проприетарный механизм управления серверами в условиях отсутствия физического доступа к ним. Компания Hewlett Packard применяет данный продукт практически для всех своих серверов, хотя он также может использовать с обычными компьютерами, так как второе поколение представляет собой плату расширения с интерфейсом PCI. Исследователи рассказывают, что найденную ими проблему можно использовать удаленно, через интернет, а значит любые решения iLO «смотрящие» в онлайн оказались в большой опасности. Баг позволял обойти аутентификацию и получить доступ к консоли HP iLO, что впоследствии позволяло извлечь пароли в формате обычного текста, выполнить вредоносный код и даже подменить прошивку iLO. Хуже того, никаких сложных манипуляций для эксплуатации уязвимости не требовалось. Было достаточно простого запроса cURL, содержащего 29 букв «A»: curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA" Ниже можно увидеть демонстрацию такого обхода аутентификации iLO и извлечение локального пароля открытым текстом. К счастью, пользователям iLO не стоит начинать паниковать, так как представителей HP уведомили о баге в том же 2017 году, и с помощью экспертов CERT уязвимость уже была устранена. Патч для CVE-2017-12542 был выпущен в августе 2017 года, с обновлением прошивки iLO 4 до версии 2.54. Таким образом, уязвимыми перед багом являются лишь HP iLO 4, работающие на прошивке 2.53 и ниже. На другие поколения продуктов (iLO 5, iLO 3 и так далее) уязвимость не распространяется. Из-за серьезности проблемы и легкости ее эксплуатации исследователи лишь недавно представили доклад о баге на конференциях ReCon Brussels и SSTIC 2018. Proof-of-concept эксплоит для CVE-2017-12452 теперь опубликован в открытом доступе (найти его можно здесь и здесь), а также уже доступен модуль для Metasploit. Источник новости - google.com

Теги: CSS, можно эксплуатации аутентификацию лишь букв

Просмотров: 672
Комментариев: 0:   7-07-2018, 06:00
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
Комментарии для сайта Cackle
ДОБАВИТЬ БАННЕР