惠普表示已经在其企业级StoreOnce重复数据删除设备的软件中发现了潜在的安全问题。
惠普称,这个安全威胁不会影响到最新的惠普StoreOnce重复数据删除设备,而且很快就会推出补丁。
这个潜在的存储安全风险是由一名叫做“Technion”的博主发现的。
Technion在博客中写道,他发现了进入StoreOnce软件的后门。可以在惠普StoreOnce装置的IP地址,键入“HPSupport”作为用户名,然后输入密码,这个密码可通过一个特定的密码hash来确定。
结果呢?他写道:“然后你就可以进入一个你并不认识的一个管理人员的账户。”
Technion称,他跟惠普联系了好几个星期,但是没有收到任何回应。
“惠普是采取眼不见为净的做法,自欺欺人,”他写道。
每个人都可能遇到漏洞,Technion写道。“任何人都有很多问题。秘密的根账户并不是这些人中的一个。但这不是讨厌用户的理由,”他写道。
当CRN与惠普联系时,惠普发布了一项声明和一个安全公告。
该声明称:“惠普认为这个潜在的安全问题存在于旧版的惠普StoreOnce模型中。不会对使用3.0版本的StoreOnce系统产生影响,包括惠普StoreOnce B6200和惠普StoreOnce VSA产品。惠普对待安全问题的态度非常严肃,正积极对此漏洞进行修补。”
此声明还包含一个进入惠普安全通告的链接,该安全通告称,惠普在StoreOnce D2D备份系统中发现了一个潜在的安全漏洞。
“这个漏洞可能被远程利用,最终导致未经授权的访问和篡改。……通过HPSupport用户账号登陆的用户不会访问已经备份到惠普StoreOnce备份系统的数据,因此无法读取或下载已经备份的数据。不过,通过此种方式登陆后,却可以将设备重置到出厂默认设置,从而删除所有备份的数据,”惠普在此份安全通告中写道。
惠普表示最新的StoreOnce B6200物理设备和惠普StoreOnce VSA虚拟存储装置不会受此漏洞的影响。该公司还表示,有望在7月7日为使用旧版本StoreOnce产品的用户推出软件补丁。
对于惠普的StoreOnce安全通告是否是对Technion的博客做出回应,惠普新闻发言人并未就此表态。
惠普会定期为自己的产品提供补丁和升级,Enterprise Computing Solution总裁Dave Butler表示。
Butler说:“惠普一直会定期推出补丁。这是我第一次听到此类安全问题。合作多少年来,我对惠普的补丁和升级问题唯一有过一次担心,是有一回一名客户的电力供应出了问题,导致他们无法完成升级。”