HPE 警告 OneView 平台存在重大漏洞

关键总结

Hewlett Packard Enterprise（HPE）于周三发出关键警报，指出其 OneView 基础设施管理平台存在一个“使用后释放”（use-
after-free）漏洞。该漏洞允许远程攻击者在目标系统上执行任意代码，泄露数据或制造拒绝服务（DoS）攻击的条件。该漏洞与第三方代码 Expat XML解析器有关，并被标记为 CVE-2022-40674，HPE 为该漏洞打分 9.8，严重性极高。涉及的其他供应商如 NetApp 和 IBM也发布了相应的警告，针对同样的漏洞进行防范。

重要信息概述

HPE 的警告指出，漏洞会影响多个版本的 OneView，尤其是在 8.1之前的版本。虽然尚未发现漏洞在野外被利用的公开报告，但修复措施的推迟可能导致敏感信息的泄露或 Denial of Service 攻击。

关键点 | 描述
—|—
漏洞 | 使用后释放漏洞（CVE-2022-40674）
严重性评级 | 9.8（极高）
受影响产品 | HPE OneView 8.1 之前版本
影响的其他供应商 | NetApp、IBM
漏洞性质 | 允许远程执行任意代码

漏洞背景

此漏洞伴随 Expat XML 解析器的使用，该解析器是一个用 C 编写的流式 XML 解析库。该库非常适合处理过大无法完全载入内存的文件。HPE表示，Expat 被 OneView 用于解析不同的 XML 文件，但只影响版本在 8.1 之前的系统。

HPE 解释道： 该漏洞可能让攻击者进行拒绝服务攻击，或者执行任意代码。NetApp 和 IBM都已针对这个漏洞加强了安全防护，并建议用户尽快升级受影响的产品。

安全挑战

开源代码漏洞对应用开发（AppDev）和应用安全（AppSec）团队构成持续挑战，导致了一些重大的安全问题，例如 Log4j 漏洞。IT 商业领袖如
LogRhythm 的安全主管 Matt Sanders 开始提出疑问：“我们是否需要规范开源代码的安全性？”

上周，NetApp 向用户发出警告，称 Expat 漏洞影响了其 11 种企业级产品，并正在调查其他产品是否受影响。此外，IBM 也警告其 Tivoli监控解决方案受此漏洞影响。

根据 ，使用后释放漏洞是由于释放后继续使用指针导致程序崩溃。这些漏洞若成功利用，NetApp警告称，可能导致敏感信息的泄露、数据的增删或修改，甚至造成服务中断。

安全研究员
被认为是该漏洞的发现者。NIST 对此漏洞进行了多次更新，并表示仍在重新分析中，部分信息尚未公开。

结论

HPE 的 OneView平台当前面临的严重安全风险再一次提示我们关注第三方库的安全性。开源代码虽然灵活，但其潜在的安全隐患不容忽视，及时更新和慎重依赖外部库是保护信息安全的关键策略。对Expat及受其影响的产品进行更严格的监控和管理，将是后续工作的重点。