IT обозрение
Пятница, 4 июля, 2025
No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
No Result
View All Result
IT обозрение
No Result
View All Result
Home Новости

Для взлома серверов HP достаточно запроса из одной буквы

11.07.2018
A A
0
Share on FacebookShare on Twitter

В разработке Hewlett Packard Integrated Lights-Out 4 выявлена уязвимость, позволяющая обходить авторизацию с помощью одной буквы, повторенной 29 раз.

Крик удивления, 29 букв
В серверах, оснащённых решением Hewlett Packard Integrated Lights-Out 4, обнаружилась опасная уязвимость, которая позволяет легко обходить процедуру авторизации.
Взлом осуществить настолько легко, что эксперты присвоили этой проблеме 9,8 из 10 баллов по шкале оценки уязвимостей CVSS. Для эксплуатации уязвимости в буквальном смысле используются только 29 букв «А».
Integrated Lights-Out (iLO) — это решение для удалённого управления серверами. На протяжении последних десяти лет Hewlett Packard использует этот продукт практически во всех своих серверах, однако его можно использовать и с обычными компьютерами: второе поколение iLo — это обычная плата расширения PCI.

ЭТО ИНТЕРЕСНО

Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска

Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска

04.07.2025
Samsung Galaxy Fold7 «засветился» на фото — новые детали и характеристики

Samsung Galaxy Fold7 «засветился» на фото — новые детали и характеристики

04.07.2025

Баг, получивший индекс CVE-2017-12542, позволяет получать доступ к консоли управления iLO в обход механизма авторизации. После этого злоумышленники могут извлечь пароль в формате plaintext, запустить вредоносный код или даже подменить прошивку iLO.
Для эксплуатации уязвимости достаточно простого запроса вида: «curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"».
Букв «А» должно быть ровно 29.

Угрозу хранили в тайне год
Исследователи проинформировали компанию Hewlett Packard о существовании уязвимости ещё в феврале 2017 г. К августу 2017 г. HP выпустила обновление 2.54, закрывшее уязвимость. То, что информация о ней становится общедоступной лишь сейчас, объясняется её крайней опасностью.
«Легко можно предположить, что CVE-2017-12542 не афишировали ещё и потому, что между выпуском патча и его реальной установкой часто проходит длительное время, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Эксплуатировать эту уязвимость оказалось слишком просто, поэтому эксперты решили выждать. Спустя год можно надеяться, что большинство пользователей iLo 4 успели всё-таки обновиться до версии 2.54 или более новой».
Уязвимость характерна только для iLo 4. Другие поколения iLo — третье и пятое — ей не подвержены.
Пробные эксплойты, позволяющие проверить наличие уязвимости, уже выпущены; соответствующий модуль также добавлен в Metasploit .
Техническое описание уязвимости доступно по ссылке.

Источник: cnews.ru

Читайте так-же

Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска
Новости

Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска

04.07.2025
0

Сегодня журналистика в области новостей — это не только о поиске интересных фактов, но и о выживании в условиях цифровой...

Read more
Samsung Galaxy Fold7 «засветился» на фото — новые детали и характеристики

Samsung Galaxy Fold7 «засветился» на фото — новые детали и характеристики

04.07.2025
Полиция разместила фото доказательств, искаженное ИИ — сначала отрицала, а потом извинялась

Полиция разместила фото доказательств, искаженное ИИ — сначала отрицала, а потом извинялась

03.07.2025
Автопилот Tesla завез людей под поезд — семья едва успела выйти

Автопилот Tesla завез людей под поезд — семья едва успела выйти

03.07.2025
Больше перехватчиков «Шахедов»: Минобороны и экс-руководитель Google Эрик Шмидт подписали меморандум о производстве дронов

Больше перехватчиков «Шахедов»: Минобороны и экс-руководитель Google Эрик Шмидт подписали меморандум о производстве дронов

03.07.2025

ТОП НОВОСТИ

Сурвайвал Bendy: Lone Wolf про волка по имени Борис выйдет на ПК и консолях в августе

Сурвайвал Bendy: Lone Wolf про волка по имени Борис выйдет на ПК и консолях в августе

04.07.2025
Google оштрафовали на $314 млн за фоновое извлечение данных с Android

Google оштрафовали на $314 млн за фоновое извлечение данных с Android

04.07.2025
Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска

Спроси у ChatGPT: 69% пользователей больше не переходят на сайты из поиска

04.07.2025
СМИ: Лесли Бензис хочет перезапустить MindsEye после «саботированного релиза»

СМИ: Лесли Бензис хочет перезапустить MindsEye после «саботированного релиза»

04.07.2025
Samsung Galaxy Z Fold 7 засветился на первых шпионских фото

Samsung Galaxy Z Fold 7 засветился на первых шпионских фото

04.07.2025

ПОПУЛЯРНОЕ

  • Новая Silent Hill, ремастеры и «намек» на геймплей Ghost of Yotei — все, что показали на летней State of Play 2025

    Новая Silent Hill, ремастеры и «намек» на геймплей Ghost of Yotei — все, что показали на летней State of Play 2025

    0 shares
    Share 0 Tweet 0
  • Clair Obscur: Expedition 33 разошлась тиражом в 500 тысяч копий за сутки

    0 shares
    Share 0 Tweet 0
  • Для тайкуна Two Point Museum анонсировали фэнтезийное дополнение Fantasy Finds

    0 shares
    Share 0 Tweet 0
  • Обзор клавиатуры MechLands Vibe75 – сменные модули экрана и регулятора

    0 shares
    Share 0 Tweet 0
  • В ролевой котоэкшен Cat Quest 3 добавили бесплатный контент с новыми боссами и попугаями

    0 shares
    Share 0 Tweet 0
  • Реклама
  • Контакты
  • Политика конфиденциальности
Реклама: digestmediaholding@gmail.com

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

wpDiscuz