HPE OneView: Kritische Lücke erlaubt Codeschmuggel aus dem Netz

In HPE OneView klafft eine kritische Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen können. Da das ohne vorherige Anmeldung aus dem Internet möglich ist, erhält die Schwachstelle die höchstmögliche Risikoeinstufung.

HPEs OneView dient zur zentralen Verwaltung von IT-Infrastrukturen wie Servern, Speichersystemen und Netzwerken. Die Schwachstellenbeschreibung vom Dienstag erörtert lediglich knapp: „Ein Remote-Code-Execution-Problem besteht in HPE OneView“ (CVE-2025-37164, CVSS 10.0, Risiko „kritisch“). Eine Sicherheitsmitteilung auf der HPE-Website ist kaum hilfreicher, nennt jedoch zumindest Randbedingungen: „Eine mögliche Sicherheitslücke wurde in der Hewlett Packard Enterprise OneView-Software erkannt. Die Schwachstelle könnte missbraucht werden, sie ermöglicht unauthentifizierten Nutzern aus dem Netz, Code aus der Ferne auszuführen“.

Worin die Schwachstelle konkret besteht und wie Angriffe aussehen könnten, erklärt HPE nicht. Betroffen sind jedoch alle Fassungen vor Version 11.00, die jüngst veröffentlicht wurde. HPE stellt sie im HPE-Software-Center zum Download bereit.

Hotfixes für ältere Versionen

Außerdem will HPE im Software-Center Hotfixes für ältere Versionen von OneView zwischen 5.20 und 10.20 zur Verfügung stellen. Der Hotfix muss nach einem Upgrade von OneView 6.60.xx auf 7.00.00 erneut angewendet werden, außerdem nach Anwenden von HPE Synergy Composer, ergänzt der Hersteller.

Aufgrund des Schweregrads der Sicherheitslücke sollten IT-Verantwortliche die Aktualisierung umgehend herunterladen und installieren.

Zuletzt mussten Admins eine hochriskante Sicherheitslücke in OneView für VMware vCenter mit Updates stopfen. Angreifer konnten dadurch ihre Nutzerrechte ausweiten und Befehle als Admin ausführen. Anfang 2024 gab es ebenfalls kritische Sicherheitslücken in HPE OneView, dort allerdings durch mitgelieferte Drittanbietersoftware wie den Apache HTTP-Server.

(dmk)