8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】CVE-2020-7200 HPE SIM远程代码执行缝隙

颁布功夫 2020-12-17

0x00 缝隙概述

CVE ID	CVE-2020-7200	时间	2020-12-17
类型	RCE	等级	严沉
远程利用	是	影响领域	HPE SIM 7.6.X

0x01 缝隙详情

HPE Systems Insight Manager（SIM）是用于多个HPE服务器、存储和网络产品的治理和远程支持自动化解决规划。。。。。。。。

2020年12月15日，，，，，，，，HPE颁布安全布告，，，，，，，，颁布了SIM中的一个远程代码执行缝隙（CVE-2020-7200），，，，，，，，该缝隙的CVSS评分为9.8。。。。。。。。

该缝隙是未对用户提交的数据进行正确验证造成的，，，，，，，，这可能导致不成信数据的反序列化，，，，，，，，攻击者能够利用此缝隙在指标服务器上执行代码，，，，，，，，无需用户交互且利用复杂度低。。。。。。。。

0x02 措置建议

HPE SIM支持Linux和Windows系统。。。。。。。。目前，，，，，，，，HPE仅颁布了针对Windows系统的一时措施，，，，，，，，HPE将在将来的版本中提供该缝隙的齐全建复法式。。。。。。。。

一时措施（仅合用于windows系统）：

禁用“结合搜索”和“结合CMS配置”职能，，，，，，，，步骤如下：

1.终场HPE SIM服务。。。。。。。。

2.从SIM的装置蹊径中删除文件。。。。。。。。

3.沉启HPE SIM服务。。。。。。。。

4. 期待HPE SIM网页“ https：// SIM_IP：50000”可接见后，，，，，，，，在号令提醒符中执行该号令：mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul。。。。。。。。

0x03 参考链接

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04068en_us

https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7200

0x04 功夫线

2020-12-15 HPE颁布安全布告

2020-12-16 HPE更新安全布告

2020-12-17 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】