惠普表示已經(jīng)在其企業(yè)級(jí)StoreOnce重復(fù)數(shù)據(jù)刪除設(shè)備的軟件中發(fā)現(xiàn)了潛在的安全問(wèn)題�����。
惠普稱(chēng)��,這個(gè)安全威脅不會(huì)影響到最新的惠普StoreOnce重復(fù)數(shù)據(jù)刪除設(shè)備�����,而且很快就會(huì)推出補(bǔ)丁��。
這個(gè)潛在的存儲(chǔ)安全風(fēng)險(xiǎn)是由一名叫做“Technion”的博主發(fā)現(xiàn)的���。
Technion在博客中寫(xiě)道�����,他發(fā)現(xiàn)了進(jìn)入StoreOnce軟件的后門(mén)������?梢栽诨萜誗toreOnce裝置的IP地址���,鍵入“HPSupport”作為用戶(hù)名,然后輸入密碼�����,這個(gè)密碼可通過(guò)一個(gè)特定的密碼hash來(lái)確定�。
結(jié)果呢?他寫(xiě)道:“然后你就可以進(jìn)入一個(gè)你并不認(rèn)識(shí)的一個(gè)管理人員的賬戶(hù)���。”
Technion稱(chēng)�����,他跟惠普聯(lián)系了好幾個(gè)星期��,但是沒(méi)有收到任何回應(yīng)���。
“惠普是采取眼不見(jiàn)為凈的做法�����,自欺欺人����,”他寫(xiě)道��。
每個(gè)人都可能遇到漏洞��,Technion寫(xiě)道�。“任何人都有很多問(wèn)題。秘密的根賬戶(hù)并不是這些人中的一個(gè)����。但這不是討厭用戶(hù)的理由,”他寫(xiě)道����。
當(dāng)CRN與惠普聯(lián)系時(shí)�,惠普發(fā)布了一項(xiàng)聲明和一個(gè)安全公告�。
該聲明稱(chēng):“惠普認(rèn)為這個(gè)潛在的安全問(wèn)題存在于舊版的惠普StoreOnce模型中。不會(huì)對(duì)使用3.0版本的StoreOnce系統(tǒng)產(chǎn)生影響�,包括惠普StoreOnce B6200和惠普StoreOnce VSA產(chǎn)品����;萜諏(duì)待安全問(wèn)題的態(tài)度非常嚴(yán)肅,正積極對(duì)此漏洞進(jìn)行修補(bǔ)���。”
此聲明還包含一個(gè)進(jìn)入惠普安全通告的鏈接,該安全通告稱(chēng)�����,惠普在StoreOnce D2D備份系統(tǒng)中發(fā)現(xiàn)了一個(gè)潛在的安全漏洞�����。
“這個(gè)漏洞可能被遠(yuǎn)程利用���,最終導(dǎo)致未經(jīng)授權(quán)的訪(fǎng)問(wèn)和篡改�。……通過(guò)HPSupport用戶(hù)賬號(hào)登陸的用戶(hù)不會(huì)訪(fǎng)問(wèn)已經(jīng)備份到惠普StoreOnce備份系統(tǒng)的數(shù)據(jù)�,因此無(wú)法讀取或下載已經(jīng)備份的數(shù)據(jù)�。不過(guò)�,通過(guò)此種方式登陸后,卻可以將設(shè)備重置到出廠默認(rèn)設(shè)置��,從而刪除所有備份的數(shù)據(jù)��,”惠普在此份安全通告中寫(xiě)道�����。
惠普表示最新的StoreOnce B6200物理設(shè)備和惠普StoreOnce VSA虛擬存儲(chǔ)裝置不會(huì)受此漏洞的影響��。該公司還表示����,有望在7月7日為使用舊版本StoreOnce產(chǎn)品的用戶(hù)推出軟件補(bǔ)丁。
對(duì)于惠普的StoreOnce安全通告是否是對(duì)Technion的博客做出回應(yīng)��,惠普新聞發(fā)言人并未就此表態(tài)����。
惠普會(huì)定期為自己的產(chǎn)品提供補(bǔ)丁和升級(jí),Enterprise Computing Solution總裁Dave Butler表示���。
Butler說(shuō):“惠普一直會(huì)定期推出補(bǔ)丁�����。這是我第一次聽(tīng)到此類(lèi)安全問(wèn)題��。合作多少年來(lái)����,我對(duì)惠普的補(bǔ)丁和升級(jí)問(wèn)題唯一有過(guò)一次擔(dān)心,是有一回一名客戶(hù)的電力供應(yīng)出了問(wèn)題�����,導(dǎo)致他們無(wú)法完成升級(jí)�。”
