凯时K66

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】CVE-2020-7200 HPE SIM远程代码执行误差

宣布时间 2020-12-17

0x00 误差概述

CVE ID	CVE-2020-7200	时间	2020-12-17
类型	RCE	等级	严重
远程使用	是	影响规模	HPE SIM 7.6.X

0x01 误差详情

HPE Systems Insight Manager（SIM）是用于多个HPE效劳器、存储和网络产品的治理和远程支持自动化解决计划。。。。。。。

2020年12月15日，，，，HPE宣布清静通告，，，，宣布了SIM中的一个远程代码执行误差（CVE-2020-7200），，，，该误差的CVSS评分为9.8。。。。。。。

该误差是未对用户提交的数据举行准确验证造成的，，，，这可能导致不可信数据的反序列化，，，，攻击者可以使用此误差在目的效劳器上执行代码，，，，无需用户交互且使用重漂后低。。。。。。。

0x02 处置惩罚建议

HPE SIM支持Linux和Windows系统。。。。。。。现在，，，，HPE仅宣布了针对Windows系统的暂时步伐，，，，HPE将在未来的版本中提供该误差的完整修复程序。。。。。。。

暂时步伐（仅适用于windows系统）：

禁用“联合搜索”和“联合CMS设置”功效，，，，办法如下：

1.阻止HPE SIM效劳。。。。。。。

2.从SIM的装置路径中删除文件。。。。。。。

3.重启HPE SIM效劳。。。。。。。

4. 期待HPE SIM网页“ https：// SIM_IP：50000”可会见后，，，，在下令提醒符中执行该下令：mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul。。。。。。。

0x03 参考链接

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04068en_us

https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7200

0x04 时间线

2020-12-15 HPE宣布清静通告

2020-12-16 HPE更新清静通告

2020-12-17 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 凯时K66 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】