Categories: DataStorage

Kritisch: HPE warnt vor unbefugtem Fernzugriff auf Tape Libraries

Hewlett Packard Enterprise warnt vor einem als “kritisch” eingestuften Leck in der HPE StoreEver MSL6480 Tape Library. Darüber können Angreifer remote und ohne Autorisierung Daten abrufen. In der Maximalkonfiguration kann die Tape Library bis zu 8,4 Petabyte speichern. Dafür müssen sämtliche 560 Slots mit LTO-7-Bändern bestückt werden.

Das Problem liegt in der Scripting-Sprache PHP. Durch den Fehler werden Anwendungen nicht vor unstrukturierten Client-Daten in HTTP_PROXY-Environment-Variablen geschützt, wie es in einem Advisory von HPE heißt. Das bedeute, dass in der Folge ein Hacker den HTTP-Traffic einer Anwendung über einen manipulierten Proxy Header in einem HTTP-Request an einen beliebigen Proxy-Server umleiten kann.

HPE StoreEver MSL6480 Tape Library leidet unter einem PHP-Leck. (Bild: HPE)

Die MSL6480 kann je nach Ausstattung und Konfiguartion bis zu 113 Terabyte pro Stunde auslesen. Ein Angreifer kann also vergleichsweise schnell große Datenmengen aus dem Archiv abziehen. Daher warnt HPE in einem dem Advisory: “Diese Informationen in diesem Sicherheits-Bulletin sollten so schnell wie möglich umgesetzt werden.”

Die neue Firmware-Version 5.10 soll das Problem nachhaltig beheben. Die Datei steht hier zum Download bereit.

Den gleichen Fehler hatten Oracle und Red Hat bereits im September behoben. Nun verteilt auch HPE die neue Firmware-Version. Die Warnung des CERT vor dem Problem macht seit dieser Woche die Runde. Am 15. November hatte HPE das entsprechende Advisory zeitgleich mit der neuen Firmware-Version veröffentlicht.

Mehr zum Thema

Hyperkonvergente Systeme

Weniger Komplexität, einheitlicher Einkauf, vorintegrierte und aufeinander abgestimmte Komponenten sowie weniger Sorgen und Kosten beim Betrieb durch Abstraktion und Automatisierung, das versprechen die Anbieter "hyperkonvergenter Systeme". Im silicon.de-Special finden sie aktuelle Nachrichten und umfassende Hintergrundartikel zu dem Marktsegment.

Redaktion

Recent Posts

KI-Modell verbessert Präzision der Wettervorhersage

Das KI-Modell von Alibaba prognostiziert mit stündlichen Aktualisierungen die Wetterbedingungen von einer Stunde bis zu…

2 Stunden ago

Autonom handelnde KI-Agenten

"Wir werden eine stärkere Integration von KI-Agenten sehen, die durch Prozessintelligenz neue Maßstäbe setzen", sagt…

3 Stunden ago

KI gegen Bürokratie

Maßgeschneiderte KI-Agenten eines deutschen Start-ups soll gegen überbordende Bürokratie und verklausuliertes Amtsdeutsch helfen.

1 Tag ago

Digitalisierung Deutschlands schreitet nur in kleinen Schritten voran

Cisco Digital Kompass 2025 zeigt: Chancen werden nicht überall konsequent genutzt und es scheint eine…

1 Tag ago

Subgruppen-Erkennung: Wendepunkt in der Malware-Abwehr

Ein von der Europäischen Kommission im Rahmen des ELSA-Netzwerks gefördertes Projekt, widmet sich der Malware-Erkennung.

2 Tagen ago

Von unterstützender zu autonomer KI

"Unsere AI Agents erledigen Aufgaben nicht mehr nur auf Anfrage, sondern agieren proaktiv und eigenständig",…

2 Tagen ago