由惠普在2015年末拆分成立的慧与公司（Hewlett Packard Enterprise，HPE）已经发布了一个安全补丁，用以解决其远程管理工具HPE Integrated Lights-Out 3（iLO 3）中存在的安全漏洞（CVE-2017-8987）。

iLO卡具有独立的网络连接（即自己的IP地址），用于远程管理ProLiant服务器。借助iLO的远程管理能力，用户能够像在现场操作一样对ProLiant服务器进行异地管理，从而节省差旅成本、提高工作效率，以延长系统的正常运行时间。

IT安全解决方案供应商Rapid7公司的研究人员在2017年9月份发现了iLO 3中的漏洞，该问题被描述为“高严重性”，并获得了8.6的CVSS基本评分。

远程攻击者可以利用此漏洞发起拒绝服务（DoS）攻击，这可能会在某些情况下给数据中心造成严重问题。

根据Rapid7的描述，有几种HTTP请求方法会导致运行固件版本v1.88的iLO3设备在10分钟内以多种方式停止响应：

SSH：开放会话将无响应，新的SSH会话将不会建立；

门户网站（Web portal）：用户无法登录到门户网站，登录页面将无法成功加载。

Rapid7表示，他们并没有针对iLO 5进行测试。并表示，以下四种调用方法也会触发拒绝服务：

curl -X OPTIONS hp-ilo-3.testing.your-org.com

curl -X PROPFIND hp-ilo-3.testing.your-org.com

curl -X PUT hp-ilo-3.testing.your-org.com

curl -X TRACE hp-ilo-3.testing.your-org.com

慧与公司在2月22日公开披露了这个漏洞，并提醒用户升级到HPE支持中心提供的iLO 3（V1.89）。另外，固件版本1.8、1.82、1.85和1.87）以及iLO 4（v2.55）不受影响。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。