CH azonosító
CH-3819Angol cím
HP Systems Insight Manager Multiple VulnerabilitiesFelfedezés dátuma
2010.10.19.Súlyosság
MagasÉrintett rendszerek
Hewlett Packard (HP)Systems Insight Manager (SIM)
Érintett verziók
HP Systems Insight Manager 6.x
Összefoglaló
A Systems Insight Manager olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak emelt szintű jogosultságok megszerzésére, valamint támadók cross-site scripting (XSS), cross-site request forgery (XSRF), vagy „click jacking” támadásokat kezdeményezhetnek vagy tetszőleges kódot futtathatnak a felhasználó rendszerén.
Leírás
- Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül bizonyos műveleteket végezzenek el, a kérések érvényességi vizsgálata nélkül. Ez kihasználható egy nem részletezett művelet végrehajtására, ha a bejelentkezett felhasználó meglátogat egy rosszindulatú weboldalt.
- Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- Egy nem részletezett hiba kihasználható a hitelesített felhasználók jogosultságainak kiterjesztésére.
Megjegyzés: Ezeken kívül a mellékelt Adobe Flash több sérülékenységét is igazolták.
További részleteket ezzel kapcsolatban itt talál: CH-3465
A sérülékenységeket a HP-UX, Linux és Windows operációs rendszereken futó 6.2. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.itrc.hp.com
Gyártói referencia: www.itrc.hp.com
CERT-Hungary CH-3465
SECUNIA 41908
SECUNIA 40907
CVE-2010-0209 - NVD CVE-2010-0209
CVE-2010-2213 - NVD CVE-2010-2213
CVE-2010-2214 - NVD CVE-2010-2214
CVE-2010-2215 - NVD CVE-2010-2215
CVE-2010-2216 - NVD CVE-2010-2216
CVE-2010-3288 - NVD CVE-2010-3288
CVE-2010-3289 - NVD CVE-2010-3289
CVE-2010-3290 - NVD CVE-2010-3290