Érintett rendszerek
Hewlett Packard (HP)System Maangement Homepage
Érintett verziók
Hewlett Packard (HP) System Maangement Homepage 2.x, 3.x
Összefoglaló
A HP ismertette a HP System Management Homepage sérülékenységeit, melyeket a támadók felhasználhatnak cross-site scripting és hamisításon alapuló támadások lefolytatására.
Leírás
A HP ismertette a HP System Management Homepage sérülékenységeit, melyeket a támadók felhasználhatnak cross-site scripting és hamisításon alapuló támadások lefolytatására.
- A PHP sérülékenységét kihasználva cross-site scripting támadás indítható, ha a “display_errors” engedélyezett.
- Az OpenSSL sérülékenységét hamisításon alapuló támadásokra használhatják fel a támadók.
- Bizonyos meghatározatlan bemenet nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenységeket a HP System Management Homepage (SMH) 3.0.1.73-nál korábbi Windows 2003, 2008 és Linux verzióiban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35108
Gyártói referencia: www13.itrc.hp.com
SECUNIA 33338
CVE-2008-5077 - NVD CVE-2008-5077
CVE-2008-5814 - NVD CVE-2008-5814
CVE-2009-1418 - NVD CVE-2009-1418