Se
ha anunciado una vulnerabilidad en la
configuración SNMP de switches 3Com, HP y H3C que podría permitir a un
usuario remoto realizar acciones administrativas en los sistemas afectados.
ha anunciado una vulnerabilidad en la
configuración SNMP de switches 3Com, HP y H3C que podría permitir a un
usuario remoto realizar acciones administrativas en los sistemas afectados.
Un usuario remoto con conocimiento
de la comunidad pública SNMP puede acceder
a datos sensibles (como nombres de usuario y contraseñas) de los objetos
MIB (Management Information Base o Base de Información de Administración) h3c-user.mib
y hh3c-user.mib a través de SNMP. Una vez que el atacante accede a esta
información, podría emplearla para tomar
el control de los dispositivos afectados.
de la comunidad pública SNMP puede acceder
a datos sensibles (como nombres de usuario y contraseñas) de los objetos
MIB (Management Information Base o Base de Información de Administración) h3c-user.mib
y hh3c-user.mib a través de SNMP. Una vez que el atacante accede a esta
información, podría emplearla para tomar
el control de los dispositivos afectados.
La lista de productos afectados
es inmensa, se eleva a más de 750
modelos diferentes entre las tres marcas, por lo que se recomienda
consultar el aviso oficial publicado por HP:
es inmensa, se eleva a más de 750
modelos diferentes entre las tres marcas, por lo que se recomienda
consultar el aviso oficial publicado por HP:
La vulnerabilidad tiene asignado
el CVE-2012-3268
con un CVSS de 9.3. Se han publicado actualizaciones para gran parte de los
productos, así como contramedidas efectivas para todos los dispositivos,
disponibles a través del aviso de HP.
el CVE-2012-3268
con un CVSS de 9.3. Se han publicado actualizaciones para gran parte de los
productos, así como contramedidas efectivas para todos los dispositivos,
disponibles a través del aviso de HP.
Más información:
HPSBHF02819
SSRT100920 rev.1 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure
of Information
SSRT100920 rev.1 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure
of Information
Antonio Ropero
Twitter: @aropero
