Giriş
Hewlett Packard Enterprise (HPE), OneView yazılımında kritik bir güvenlik açığı tespit etti. Bu açık, başarılı bir şekilde istismar edilmesi durumunda uzaktan kod çalıştırılmasına olanak tanıyor. CVE-2025-37164 tanımlayıcısı verilen bu kritik zafiyet, CVSS skoruyla 10.0 olarak derecelendiriliyor. Peki, bu zafiyetin etkileri ve alınması gereken önlemler nelerdir?
Zafiyetin Detayları
HPE OneView, IT altyapı yönetimi yapan ve tüm sistemleri merkezi bir kontrol paneli üzerinden yöneten bir yazılımdır. HPE, bu açık sayesinde uzaktan kimlik doğrulaması yapılmadan kötü niyetli kullanıcıların sistemde kod çalıştırabileceğini bildirdi. Yazılımın tüm versiyonları bu zafiyetten etkileniyor; ancak HPE, bu açığın giderildiği sürüm 11.00’ı kullanıcılarına sundu.
Güvenlik Açığının Etkileri
Kritik seviyedeki bu zafiyet, özellikle büyük işletmelerin altyapı yönetiminde ciddi riskler oluşturabilir. Uzaktan bir saldırgan, sistemin kontrolünü ele geçirerek veri sızıntısına neden olabilir ya da kritik sistemleri etkisiz hale getirebilir. HPE, bu açığın istismar edilip edilmediğine dair bir bilgi vermemiş olsa da, kullanıcıların hemen yamanın uygulanmasını önermektedir.
Yamanın Uygulanması
HPE, OneView yazılımı için bir sıcak yamanın mevcut olduğunu duyurdu. Bu yama, yazılımın 5.20 ile 10.20 sürümleri arasında uygulanabilir. Ancak dikkat edilmesi gereken bir nokta var: Kullanıcılar, 6.60 veya daha yeni bir sürümden 7.00.00’a geçmeden ya da HPE Synergy Composer yeniden görüntüleme işlemleri yaptıklarında, bu sıcak yamanın tekrar uygulanması gerekmektedir.
Alternatif Çözümler ve İlgili Duyurular
Ayrıca, HPE Synergy Composer2 ve OneView sanal uygulaması için ayrı sıcak yamalar da sağlanmaktadır. Kullanıcıların, sistemlerini güncel tutmaları ve son güncellemeleri uygulamaları, olası siber saldırılara karşı korunmalarını artıracaktır.
Geçmişteki Üzerine Yapılan Güncellemeler
HPE, bu yılın Haziran ayında, StoreOnce veri yedekleme çözümünde meydana gelen sekiz zafiyeti düzeltmek için güncellemeler yayınladı. Bu güncellemeler, kimlik atlatma ve uzaktan kod çalıştırma zafiyetlerini gidermekteydi. HPE, aynı zamanda OneView’ın 10.00 sürümünü de yayınlayarak Apache Tomcat ve Apache HTTP Server gibi üçüncü taraf bileşenlerdeki bilinen zayıflıkları giderdi.
Sonuç
Birçok organizasyon için kritik öneme sahip olan HPE OneView yazılımında meydana gelen bu güvenlik açığı, göz ardı edilmemesi gereken bir konudur. Kullanıcıların, belirtilen yamaları derhal uygulamaları ve sistemlerinin güvenliğini sağlamaları önemlidir. Siber güvenlik alanında proaktif yaklaşımlar benimsemek, işletmelerin tehditlere karşı korunma seviyesini arttıracaktır.
