Une vulnérabilité de déni de service de criticité élevée a été corrigée sur HPE Integrated Lights-Out 3

Une vulnérabilité de déni de service (CVE-2017-8987) de criticité élevée a été identifiée dans HPE Integrated Lights-Out 3 (iLO3), le firmware qui équipe les serveurs HP ProLiant.

Un attaquant pourrait provoquer un déni de service en envoyant au serveur affecté des requêtes HTTP spécialement conçues (les méthodes HTTP ‘OPTIONS’, ‘PROFIND’, ‘PUT’ et ‘TRACE’ ont été identifiées comme vulnérables). Les conséquences du déni de service sont les suivantes :

  • SSH : les sessions SSH ouvertes ne répondraient plus et de nouvelles sessions ne seraient pas établies ;
  • Portail Web : les utilisateurs ne pourraient plus se connecter au portail Web et la page de connexion ne se chargerait plus.
Informations
+

Impact

  • Déni de service

Criticité

  • CVSS v3 : 8.6

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Seule la version 1.88 du firmware de HPE Integrated Lights-Out 3 (iLO3) est affectée.

CVE

  • CVE-2017-8987

Recommandations
+

Correctifs

  • HPE a publié une mise à jour (version 1.89) corrigeant la vulnérabilité. Cette dernière est disponible sur HPE Support Center. 

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.