Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittisiä ohjelmointivirheitä löydetty ja korjattu HPE:n SSD-levyjen laiteohjelmistoista

Haavoittuvuus9/2020

Hewlett Packard Enterprise (HPE) on julkaissut tiettyjen brändäämiensä SSD-levyjen laiteohjelmistoihin (firmware) päivityksen, joka korjaa niissä olevan kriittisen ohjelmointivirheen (bugin). Virhe rikkoo levyt 40000 tunnin käytön jälkeen. Kyseessä ei ole hyväksikäytettävä haavoittuvuus. Ilman korjaavaa ohjelmistopäivitystä levyjä tulee rikkoutumaan myöhemmin, HPE:n arvion mukaan aikaisintaan lokakuusta 2020 lähtien. Sama ongelma voi koskea myös muita laitevalmistajia.

HPE-brändin tiettyjen SSD-levyjen laiteohjelmistoista on löytynyt kriittinen ohjelmointivirhe, joka tulee rikkomaan levyt 40000 tunnin käytön jälkeen.

Kuten HPE mainitsee tiedotteessaan, useita levyjä on voitu asentaa samaan aikaan, mikä voi aiheuttaa myös niiden hajoamisen suunnilleen yhtäaikaisesti.

Huonoimmassa tapauksessa levyt muuttuvat käyttökelvottomiksi ja niillä olevia tietoja ei voi enää lukea. Mikäli levyjä hajoaa RAID-järjestelmässä samanaikaisesti enemmän kuin mitä RAID tukee, tietojen varmistaminen RAID:ssa usealle levylle ei auta.

Ohjelmistovirhe vaikuttaa HPE:n tiettyihin SSD-levyihin, joiden laiteohjelmisto on vanhempi kuin HPD7. Näiden levyjen laiteohjelmiston päivitys versioon HPD7 korjaa HPE:n mukaan ongelman.

HPE:n tiedotteesta (Ulkoinen linkki) löytyvät ohjelmistovirheen sisältävät mallit, ohjeet siihen, miten tarkastaa, kuinka monta tuntia SSD-levyt ovat olleet päällä sekä linkit ladattaviin päivityksiin. Joihinkin versioihin päivitykset ovat vasta tulossa.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Katso uusin tieto HPE:n tiedotteesta (Ulkoinen linkki).

MallinumeroHPE SKU
EK0800JVYPN846430-B21
EO1600JVYPP846432-B21
MK0800JVYPQ846434-B21
MO1600JVYPR846436-B21

Alla lueteltu järjestelmiä, joita ongelma koskee. Uusin tieto löytyy HPE:n tiedotteesta (Ulkoinen linkki).

HPE ProLiant ML30 Gen9 Server, HPE ProLiant DL20 Gen9 Server, HPE Synergy 480 Gen9 Compute Module, HPE Synergy 660 Gen9 Compute Module, HPE Synergy 620 Gen9 Compute Module, HPE Synergy 680 Gen9 Compute Module, HPE Apollo 6500 Gen9 System, HPE ProLiant XL270d Gen9 Server, JBOD disk, D3700 disk, HPE Apollo 2000 System, HPE 800GB SAS 12G Write Intensive 3yr Wty EK0800JVYPN Solid State Drive, HPE 1.6TB SAS 12G Write Intensive 3yr Wty EO1600JVYPP Solid State Drive, HPE 800GB SAS 12G Mixed Use 3yr Wty MK0800JVYPQ Solid State Drive, HPE 1.6TB SAS 12G Mixed Use 3yr Wty MO1600JVYPR Solid State Drive, HPE StoreEasy 3000 Gateway Storage Blade, HPE StoreEasy 1000 Storage, HPE D2220sb Storage Blade, HPE D3000 Disk Enclosures, HPE ProLiant DL160 Gen9 Server, HPE ProLiant DL180 Gen9 Server, HPE ProLiant DL360 Gen9 Server, HPE ProLiant BL460c Gen9 Server Blade, HPE ProLiant DL380 Gen9 Server, HPE ProLiant ML350 Gen9 Server, HPE ProLiant XL230a Gen9 Server, HPE ProLiant XL250a Gen9 Server, HPE ProLiant DL388 Gen9 Server, HPE ProLiant DL120 Gen9 Server, HPE ProLiant ML110 Gen9 Server, HPE ProLiant XL170r Gen9 Server, HPE ProLiant XL190r Gen9 Server, HPE ProLiant WS460c Gen9 Graphics Server Blade, HPE ProLiant DL580 Gen9 Server, HPE ProLiant BL660c Gen9 Server Blade, HPE ProLiant DL560 Gen9 Server, HPE Apollo 4200 Gen9 Server

Ratkaisu- ja rajoitusmahdollisuudet

Suosittelemme tarkistamaan välittömästi näiden laitteiden toimintaan nojaavien tietojen varmistukset.

SSD-levyjen laiteohjelmistot kannattaa päivittää uusiin ja turvallisiin versioihin. Mikäli varmuuskopiointi on toteutettu käyttäen kyseisiä päivittämättömiä levyjä, suosittelemme ottamaan väliaikaisesti varmuuskopiot myös muualle.

Mikäli käytössä oleviin levyihin ei ole vielä saatavilla päivityksiä, suosittelemme tarkastamaan, kuinka monta tuntia ne ovat olleet päällä. Mikäli mainittu kriittinen tuntimäärä on lähellä, mahdollisesti pian rikkoutuvat levyt kannattaa vaihtaa uusiin tai sammuttaa järjestelmät, kunnes päivitykset ovat saatavilla.

Lisätietoja

HPE:n tiedote "Bulletin: HPE SAS Solid State Drives - Critical Firmware Upgrade Required for Certain HPE SAS Solid State Drive Models to Prevent Drive Failure at 40,000 Hours of Operation": https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00097382en_us (Ulkoinen linkki) 

Tietoturva Nyt! Levyjärjestelmissä olleet ongelmat aiheuttaneet tietojen menetyksiä https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/levyjarjestelmissa-olleet-ongelmat-aiheuttaneet-tietojen-menetyksia (Ulkoinen linkki)

Kyseessä ei ole sama ohjelmointivirhe kuin mikä löytyi viime vuonna tietyistä HPE:n SSD-levyistä https://www.kyberturvallisuuskeskus.fi/fi/kriittisia-ohjelmointivirheita-korjattu-hpen-ssd-levyjen-laiteohjelmistoista (Ulkoinen linkki)