Los clientes de Hewlett Packard Enterprises (HPE) han sido notificados de los parches relacionados con lighttpd daemon y OpenSSH para dispositivos de acceso remoto.

Las vulnerabilidades se encuentran en dispositivos de acceso remoto, en el Sistema de Acceso Virtual para el Cliente (vCAS) diseñado para tiendas de TI que proveen soporte remoto a las redes de clientes.

La compañía ha revelado tres vulnerabilidades.

• CVE-2015-3200, afecta lighttpd previo a la versión 1.4.36. Fue parchado por el proyecto en agosto 2015 y permitía a los atacantes inyectar entradas de log.
• CVE-2016-0777, una vulnerabilidad de roaming en los clientes de OpenSSH antes de 7.1p2 solucionada en enero. Permitía al atacante recuperar búfers y acceder a las claves privadas de usuarios.
• CVE-2016-0778, también corregida en enero fue relacionada a otras vulnerabilidades de roaming en OpenSSH.

HPE aseguró que las vulnerabilidades "podían ser utilizadas remotamente, lo cual podría resultar en modificaciones no autorizadas de la información, denegación de servicio y revelación de información", por lo que la compañía se vio obligada a actuar.

Existen distintas actualizaciones para sistemas vCAS funcionando en la VirtualBox de Oracle y VMware.