惠普表示已經在其企業級StoreOnce重復數據刪除設備的軟件中發現了潛在的安全問題。
惠普稱,這個安全威脅不會影響到最新的惠普StoreOnce重復數據刪除設備,而且很快就會推出補丁。
這個潛在的存儲安全風險是由一名叫做“Technion”的博主發現的。
Technion在博客中寫道,他發現了進入StoreOnce軟件的后門??梢栽诨萜誗toreOnce裝置的IP地址,鍵入“HPSupport”作為用戶名,然后輸入密碼,這個密碼可通過一個特定的密碼hash來確定。
結果呢?他寫道:“然后你就可以進入一個你并不認識的一個管理人員的賬戶。”
Technion稱,他跟惠普聯系了好幾個星期,但是沒有收到任何回應。
“惠普是采取眼不見為凈的做法,自欺欺人,”他寫道。
每個人都可能遇到漏洞,Technion寫道。“任何人都有很多問題。秘密的根賬戶并不是這些人中的一個。但這不是討厭用戶的理由,”他寫道。
當CRN與惠普聯系時,惠普發布了一項聲明和一個安全公告。
該聲明稱:“惠普認為這個潛在的安全問題存在于舊版的惠普StoreOnce模型中。不會對使用3.0版本的StoreOnce系統產生影響,包括惠普StoreOnce B6200和惠普StoreOnce VSA產品?;萜諏Υ踩珕栴}的態度非常嚴肅,正積極對此漏洞進行修補。”
此聲明還包含一個進入惠普安全通告的鏈接,該安全通告稱,惠普在StoreOnce D2D備份系統中發現了一個潛在的安全漏洞。
“這個漏洞可能被遠程利用,最終導致未經授權的訪問和篡改。……通過HPSupport用戶賬號登陸的用戶不會訪問已經備份到惠普StoreOnce備份系統的數據,因此無法讀取或下載已經備份的數據。不過,通過此種方式登陸后,卻可以將設備重置到出廠默認設置,從而刪除所有備份的數據,”惠普在此份安全通告中寫道。
惠普表示最新的StoreOnce B6200物理設備和惠普StoreOnce VSA虛擬存儲裝置不會受此漏洞的影響。該公司還表示,有望在7月7日為使用舊版本StoreOnce產品的用戶推出軟件補丁。
對于惠普的StoreOnce安全通告是否是對Technion的博客做出回應,惠普新聞發言人并未就此表態。
惠普會定期為自己的產品提供補丁和升級,Enterprise Computing Solution總裁Dave Butler表示。
Butler說:“惠普一直會定期推出補丁。這是我第一次聽到此類安全問題。合作多少年來,我對惠普的補丁和升級問題唯一有過一次擔心,是有一回一名客戶的電力供應出了問題,導致他們無法完成升級。”
