Categories: DataStorage

Kritisch: HPE warnt vor unbefugtem Fernzugriff auf Tape Libraries

Hewlett Packard Enterprise warnt vor einem als “kritisch” eingestuften Leck in der HPE StoreEver MSL6480 Tape Library. Darüber können Angreifer remote und ohne Autorisierung Daten abrufen. In der Maximalkonfiguration kann die Tape Library bis zu 8,4 Petabyte speichern. Dafür müssen sämtliche 560 Slots mit LTO-7-Bändern bestückt werden.

Das Problem liegt in der Scripting-Sprache PHP. Durch den Fehler werden Anwendungen nicht vor unstrukturierten Client-Daten in HTTP_PROXY-Environment-Variablen geschützt, wie es in einem Advisory von HPE heißt. Das bedeute, dass in der Folge ein Hacker den HTTP-Traffic einer Anwendung über einen manipulierten Proxy Header in einem HTTP-Request an einen beliebigen Proxy-Server umleiten kann.

HPE StoreEver MSL6480 Tape Library leidet unter einem PHP-Leck. (Bild: HPE)

Die MSL6480 kann je nach Ausstattung und Konfiguartion bis zu 113 Terabyte pro Stunde auslesen. Ein Angreifer kann also vergleichsweise schnell große Datenmengen aus dem Archiv abziehen. Daher warnt HPE in einem dem Advisory: “Diese Informationen in diesem Sicherheits-Bulletin sollten so schnell wie möglich umgesetzt werden.”

Die neue Firmware-Version 5.10 soll das Problem nachhaltig beheben. Die Datei steht hier zum Download bereit.

Den gleichen Fehler hatten Oracle und Red Hat bereits im September behoben. Nun verteilt auch HPE die neue Firmware-Version. Die Warnung des CERT vor dem Problem macht seit dieser Woche die Runde. Am 15. November hatte HPE das entsprechende Advisory zeitgleich mit der neuen Firmware-Version veröffentlicht.

Mehr zum Thema

Hyperkonvergente Systeme

Weniger Komplexität, einheitlicher Einkauf, vorintegrierte und aufeinander abgestimmte Komponenten sowie weniger Sorgen und Kosten beim Betrieb durch Abstraktion und Automatisierung, das versprechen die Anbieter "hyperkonvergenter Systeme". Im silicon.de-Special finden sie aktuelle Nachrichten und umfassende Hintergrundartikel zu dem Marktsegment.

Redaktion

Recent Posts

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

4 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

20 Stunden ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

22 Stunden ago

Imperva: API-Nutzung vergrößert Angriffsfläche

Trends 2025 Application Security: Prompt Injection, Super Hacking Tool und Extended Berkeley Packet Filter.

2 Tagen ago

Zendesk: KI-Integration steht auch beim Kundenservice am Anfang

Trends 2025 in der Kundenkommunikation: Schatten-KI, Bot-Kommunikation und menschenähnlichen KI-Agenten.

2 Tagen ago

Cyberangriffe kosten Unternehmen im Schnitt 1 Million Dollar

Aus Sicht des Sicherheitsdienstleisters Kaspersky liegen Schadenskosten und Investitionen in Cybersicherheit damit fast gleichauf.

2 Tagen ago