Érintett rendszerek
Hewlett Packard (HP)Power Manager
Érintett verziók
Hewlett Packard (HP) Power Manager 4.x
Összefoglaló
Két sérülékenységet találtak a HP Power Manager-ben, amiket kihasználva, rosszindulatú támadók feltörhetik a sérülékeny rendszert.
Leírás
Két sérülékenységet találtak a HP Power Manager-ben, amiket kihasználva, rosszindulatú támadók feltörhetik a sérülékeny rendszert.
- A /goform/formExportDataLogs URL-nek küldött adatok feldolgozásakor jelentkező határhibát kihasználva verem túlcsordulást lehet előidézni, ha túlságosan hosszú a “fileName” változónak átadott paraméter.
- A /goform/formExportDataLogs URL-nek elküldött, “fileName” változónak átadott adatok nincsenek megfelelően megtisztítva. Ezt kihasználva, tetszőleges file-t felül lehet írni könyvtár bejárásos támadással.
A hibák sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.
A sérülékenységeket a 4.2.9. verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20000.www2.hp.com
SECUNIA 37280
CVE-2009-4000 - NVD CVE-2009-4000
Egyéb referencia: secunia.com
Egyéb referencia: secunia.com
CVE-2009-3999 - NVD CVE-2009-3999