Érintett rendszerek
Hewlett Packard (HP)Software Update
Érintett verziók
Hewlett Packard (HP) Software Update 3.x, 4.x
Összefoglaló
A HP Software Update olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók kiszivárogtathatnak egyes információkat és veszélyeztethetik a sérülékeny rendszert.
Leírás
A HP Software Update olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók kiszivárogtathatnak egyes információkat és föltörhetik a sérülékeny rendszert.
-
A HPeSupportDiags.HPIniFileUtil.1 ActiveX vezérlőben (HPeDiag.dll) a “GetXmlFromIni()” eljárás kezelésekor föllépő határhibát kihasználva verem túlcsordulás okozható.
A sebezhetőség sikeres kihasználása tetszőleges kód futtatását teszi lehetővé. - Egyes ActiveX vezérlők (pl. HPeSupportDiags.HPRegUtil.1, HPeSupportDiags.HPFileUtil.1, HPeSupportDiags.HPSystemBoardInfo.1, HPeSupportDiags.HPOperatingSystem.1) nem biztonságos eljárásainak hibáit kihasználva regisztrációs bejegyzéseket és szöveges fájlokat lehet olvasni, információkat lehet megszerezni a rendszerről.
A sérülékenységek a 4.000.009.002 és azelőtti verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20000.www2.hp.com
SECUNIA 29966