В случае StoreOnce достаточно залогиниться по SSH пользователем HPSupport и паролем с SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 (искомый пароль даже не надо подбирать, все уже гуглится на ура). Уязвимость существует по крайней мере с 2009 года, затронуты версии вплоть до 2.2.17 и 1.2.17. Исправленные версии 2.2.18 и 1.2.18 уже вышли, в версиях 3.х такого пользователя не было изначально.

В линейке StoreVirtual затронуты устройства с LeftHand OS версий вплоть до 10.5. По словам HP, тут для обеспечения поддержки пользователей используется механизм одноразовых паролей, но все-таки к 17 июля обещано исправление, позволяющее эту поддержку отключить. Кроме того, HP уверяет, что этот механизм не позволяет получить доступ к пользовательским данным, хотя его вполне достаточно для перезагрузки узлов кластера и эффективного удаления всех данных путем сброса установок на стандартные.

Источник: InfoWorld

теги: hp  |  предложить новость  |  обсудить  |  все отзывы (2)

[4890]

назад «  » вперед

аналогичные материалы Система активации Windows 7 уже взломана // 29.07.09 11:07 Linux могут погубить патенты // 02.08.04 19:34

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46

Комментарии: Исправленные - это видимо сменили логин/пароль и способ доступа? 13.07.13 17:39   Автор: Fighter <Vladimir> Статус: Elderman Отредактировано 13.07.13 17:39  Количество правок: 1 <"чистая" ссылка> уточнил в новости, для железок - позволяющие отключить этот доступ 13.07.13 18:12   Автор: dl <Dmitry Leonov> Отредактировано 13.07.13 18:36  Количество правок: 2 <"чистая" ссылка> В оригинале: "HP said that by July 17, it will roll out a patch that will allow customers to disable the support access." При этом уверяют, что пароль все-таки одноразовый. Для софта, видимо, что-то аналогичное.

<добавить комментарий>