惠普表示已經在其企業(yè)級StoreOnce重復數據刪除設備的軟件中發(fā)現了潛在的安全問題���。
惠普稱����,這個安全威脅不會影響到最新的惠普StoreOnce重復數據刪除設備,而且很快就會推出補丁�。
這個潛在的存儲安全風險是由一名叫做“Technion”的博主發(fā)現的。
Technion在博客中寫道�����,他發(fā)現了進入StoreOnce軟件的后門����?梢栽诨萜誗toreOnce裝置的IP地址��,鍵入“HPSupport”作為用戶名�,然后輸入密碼,這個密碼可通過一個特定的密碼hash來確定�。
結果呢?他寫道:“然后你就可以進入一個你并不認識的一個管理人員的賬戶����。”
Technion稱,他跟惠普聯系了好幾個星期���,但是沒有收到任何回應�。
“惠普是采取眼不見為凈的做法����,自欺欺人��,”他寫道���。
每個人都可能遇到漏洞,Technion寫道���。“任何人都有很多問題。秘密的根賬戶并不是這些人中的一個�。但這不是討厭用戶的理由,”他寫道�����。
當CRN與惠普聯系時����,惠普發(fā)布了一項聲明和一個安全公告。
該聲明稱:“惠普認為這個潛在的安全問題存在于舊版的惠普StoreOnce模型中�。不會對使用3.0版本的StoreOnce系統(tǒng)產生影響,包括惠普StoreOnce B6200和惠普StoreOnce VSA產品���������;萜諏Υ踩珕栴}的態(tài)度非常嚴肅����,正積極對此漏洞進行修補����。”
此聲明還包含一個進入惠普安全通告的鏈接,該安全通告稱�,惠普在StoreOnce D2D備份系統(tǒng)中發(fā)現了一個潛在的安全漏洞。
“這個漏洞可能被遠程利用����,最終導致未經授權的訪問和篡改。……通過HPSupport用戶賬號登陸的用戶不會訪問已經備份到惠普StoreOnce備份系統(tǒng)的數據�,因此無法讀取或下載已經備份的數據。不過�,通過此種方式登陸后,卻可以將設備重置到出廠默認設置���,從而刪除所有備份的數據����,”惠普在此份安全通告中寫道。
惠普表示最新的StoreOnce B6200物理設備和惠普StoreOnce VSA虛擬存儲裝置不會受此漏洞的影響�。該公司還表示,有望在7月7日為使用舊版本StoreOnce產品的用戶推出軟件補丁�。
對于惠普的StoreOnce安全通告是否是對Technion的博客做出回應,惠普新聞發(fā)言人并未就此表態(tài)���。
惠普會定期為自己的產品提供補丁和升級����,Enterprise Computing Solution總裁Dave Butler表示��。
Butler說:“惠普一直會定期推出補丁�。這是我第一次聽到此類安全問題�����。合作多少年來����,我對惠普的補丁和升級問題唯一有過一次擔心,是有一回一名客戶的電力供應出了問題�,導致他們無法完成升級。”
