Владельцам серверов HP ProLiant надо бы обновить iLO

Hewlett Packard Enterprise пропатчила серьезную уязвимость в системе Integrated Lights-Out 3 (iLO3), используемой для удаленного управления серверами популярной линейки ProLiant. Этот баг позволяет без аутентификации вызвать состояние отказа в обслуживании, что при определенных условиях может вывести из строя весь дата-центр.

Уязвимость CVE-2017-8987, обнаруженная в сентябре исследователями из Rapid7, оценена как высоко опасная, ей присвоено 8,6 балла по шкале CVSS. Разработчик опубликовал соответствующий бюллетень 22 февраля и выпустил обновление для уязвимого продукта.

Данная брешь была обнаружена в iLO3 с прошивкой 1.88, более новые версии прошивки (1.8, 1.82, 1.85 и 1.87) ей не подвержены. Для iLO4 2.55 эта проблема, согласно блог-записи Rapid7, тоже не подтвердилась, а iLO5 эксперты даже не тестировали.