HP LoadRunner USR File Directive Parsing puffer túlcsordulási sérülékenysége


2011. június 10. 08:24

CH azonosító

CH-5024

Angol cím

HP LoadRunner USR File Directive Parsing Buffer Overflow Vulnerability

Felfedezés dátuma

2011.06.08.

Súlyosság

Magas

Érintett rendszerek

Hewlett Packard (HP)
LoadRunner

Érintett verziók

HP LoadRunner 11.x
HP LoadRunner 9.x

Összefoglaló

A HP LoadRunner egy olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet a Virtual User Script (USR) fájlokban a direktívák elemzése során fellépő határhibája okozza, amelyet kihasználva puffer túlcsordulás idézhető elő, ha például a felhasználó megnyit egy USR fájlt ami túlságosan hosszú karakterlánc direktívákat tartalmaz.

A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységet a 11.0 és 9.50 közötti verziókban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Ne nyisson meg nem megbízható forrásból származó USR fájlokat. A gyártó a következő verzióban javítja ezt a hibát.

Támadás típusa

Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 44809
Egyéb referencia: www.kb.cert.org