On Fri, 2010-12-17 at 10:27 +0100, Daniele Duca wrote: > On 12/15/10 8:13 AM, Giuseppe "Gippa" Paterno' wrote: > > Ho appena letto su securityweek questo articolo in cui indica una > > backdoor negli HP MSA2000, apparati su cui ho messo mani. > > Mi sembrava utile mandarvi questa informazione: c'e' una banalissima > > password hard-coded :( > > > > http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems > Fortunatamente pare che funzioni solo tramite porta seriale. Credo che > piu' che una backdoor "maligna" sia una delle ultime spiagge che il > supporto HP ha quando un cliente telefona e dice che ha dimenticato le > password :)
Funziona anche tramite interfaccia web e SSH; la cosa preoccupante che avevo letto era l'impossibilita' di poter cambiare password a questo default user, ma un mio cliente dice di averlo fatto anche se effettivamente, come dice l'articolo, l'utente in questione non e' rilevato dall'user management. -- Simone Roselli [email protected]
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
