HP Service Manager és Service Center sérülékenységek


2011. június 8. 12:25

CH azonosító

CH-5010

Angol cím

HP Service Manager and Service Center Multiple Vulnerabilities

Felfedezés dátuma

2011.06.07.

Súlyosság

Közepes

Érintett rendszerek

Hewlett Packard (HP)
Service Center
Service Manager

Érintett verziók

HP Service Center 6.x
HP Service Manager 7.x
HP Service Manager 9.x

Összefoglaló

A HP Service Manager és Service Center olyan sérülékenységeit jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokhoz férhetnek hozzá, a rosszindulatú felhasználók script beszúrásos (insertion) támadásokat indíthatnak és megkerülhetnek bizonyos biztonsági szabályokat, a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre, bizalmas adatokat szivárogtathatnak ki, a felhasználó munkamenetét eltérítheti és bizonyos biztonsági szabályokat kerülhetnek meg.

Leírás

  1. Bizonyos meghatározatlan hibát kihasználva a hitelesített felhasználók jogosulatlan hozzáférést szerezhetnek bizonyos adatokhoz.
  2. Egy meghatározatlan jogosultsági hibát kihasználva a helyi felhasználók hozzáférést szerezhetnek bizonyos információkhoz.
  3. Egy meghatározatlan hiba kihasználható bizalmas adatok kiszivárogtatására.
  4. A munkamenet azonosítók újrafelhasználásából eredő hibáját kihasználva egy felhasználó munkamenete eltéríthető.
  5. Egy meghatározatlan hibát kihasználva jogosulatlan hozzáférés szerezhető.
  6. Bizonyos meghatározatlan bemeneti adat nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  7. Bizonyos meghatározatlan bemeneti adat nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor a kártékony adat megtekintésre kerül.

A sérülékenységeket a következő termékekben jelentették:

  • HP Service Manager v9.21, v9.20, v7.11 és v7.02 AIX, HP-UX, Linux, Solaris és Windows változatok.
  • HP Service Manager client v9.21, v9.20, v7.11 és v7.02 Windows változatok.
  • HP Service Center client v6.2.8 Windows változatok.
  • HP Service Center v6.2.8 AIX, HP-UX, Linux, Solaris és Windows változatok.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 44836
CVE-2011-1857 - NVD CVE-2011-1857
CVE-2011-1858 - NVD CVE-2011-1858
CVE-2011-1859 - NVD CVE-2011-1859
CVE-2011-1860 - NVD CVE-2011-1860
CVE-2011-1861 - NVD CVE-2011-1861
CVE-2011-1862 - NVD CVE-2011-1862
CVE-2011-1863 - NVD CVE-2011-1863
Gyártói referencia: www.itrc.hp.com

Legfrissebb sérülékenységek
CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége
CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége
CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége
CVE-2024-6385 – GitLab CE/EE sérülékenysége
CVE-2024-22280 – VMware Aria Automation sérülékenysége
CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége
CVE-2024-6235 – NetScaler Console sérülékenysége
CVE-2024-38080 – Windows Hyper-V sérülékenysége
CVE-2024-38112 – Windows MSHTML Platform sérülékenysége
CVE-2024-3596 – RADIUS Protocol RFC 2865 prefix collision sérülékenysége
Tovább a sérülékenységekhez »