Érintett rendszerek
Hewlett Packard (HP)ProCurve Threat Management Services
Érintett verziók
HP ProCurve Threat Management Services zl Module 1.x
Összefoglaló
A HP ismertette a HP Threat Management Services zl Module egy sérülékenységét, amelyet a támadók kihasználhatnak egyes adatok módosítására és szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás
A sérülékenységet a TLS protokol munkafolyamatok újraegyeztetése alatt fellépő hiba okozza. Ez kihasználható a meglévő TLS munkafolyamatba tetszőleges szöveg beszúrására Man-in-the-Middle (MitM) támadásokkal, mielőtt a valódi felhasználó elküldené az adatokat.
A sérülékenység sikeres kihasználása lehetővé teheti például tetszőleges HTTP kérés elküldését, még a hitelesítés közben, ha a szerveren tanúsítvány alapú hitelesítést használnak.
A sérülékenységet a zl Module J9155A és J9156A-ban jelentették, ha azok az ST.1.1.100430-nél korábbi verzión futnak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: itrc.hp.com
SECUNIA 40866
SECUNIA 37291
CVE-2009-3555 - NVD CVE-2009-3555