Vigil@nce - Matériel HP : exécution de commande IPMI via iLO
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser un mot de passe arbitraire et aucun
chiffrement, afin d’exécuter des commandes IPMI via HP Integrated
Lights-Out (iLO).
– Produits concernés : Windows (plateforme), Unix (plateforme)
– Gravité : 2/4
– Date création : 13/08/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Les matériels HP utilisent iLO (HP Integrated Lights-Out), qui
supporte le protocole IPMI (Intelligent Platform Management
Interface).
Une session IPMI peut être chiffrée. Le "Cipher Suite 0" désactive
le chiffrement, cependant suite à une erreur de conception,
l’authentification est aussi désactivée.
Un attaquant peut donc utiliser un mot de passe arbitraire et
aucun chiffrement, afin d’exécuter des commandes IPMI via HP
Integrated Lights-Out (iLO).
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Materiel-HP-execution-de-commande-IPMI-via-iLO-13268