Kritisch: HPE warnt vor unbefugtem Fernzugriff auf Tape Libraries

Hewlett Packard Enterprise warnt vor einem als “kritisch” eingestuften Leck in der HPE StoreEver MSL6480 Tape Library. Darüber können Angreifer remote und ohne Autorisierung Daten abrufen. In der Maximalkonfiguration kann die Tape Library bis zu 8,4 Petabyte speichern. Dafür müssen sämtliche 560 Slots mit LTO-7-Bändern bestückt werden.

Das Problem liegt in der Scripting-Sprache PHP. Durch den Fehler werden Anwendungen nicht vor unstrukturierten Client-Daten in HTTP_PROXY-Environment-Variablen geschützt, wie es in einem Advisory von HPE heißt. Das bedeute, dass in der Folge ein Hacker den HTTP-Traffic einer Anwendung über einen manipulierten Proxy Header in einem HTTP-Request an einen beliebigen Proxy-Server umleiten kann.

Die MSL6480 kann je nach Ausstattung und Konfiguartion bis zu 113 Terabyte pro Stunde auslesen. Ein Angreifer kann also vergleichsweise schnell große Datenmengen aus dem Archiv abziehen. Daher warnt HPE in einem dem Advisory: “Diese Informationen in diesem Sicherheits-Bulletin sollten so schnell wie möglich umgesetzt werden.”

Die neue Firmware-Version 5.10 soll das Problem nachhaltig beheben. Die Datei steht hier zum Download bereit.

Den gleichen Fehler hatten Oracle und Red Hat bereits im September behoben. Nun verteilt auch HPE die neue Firmware-Version. Die Warnung des CERT vor dem Problem macht seit dieser Woche die Runde. Am 15. November hatte HPE das entsprechende Advisory zeitgleich mit der neuen Firmware-Version veröffentlicht.