Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/02/2011
Se ha informado de un fallo de seguridad en HP OpenView Performance Insight, que podría ser explotado por usuarios maliciosos para comprometer un sistemas vulnerable.
El fallo es debido a que la clase de Java "com.trinagy.security.XMLUserManager" contiene una cuenta oculta. Esto puede ser explotado para subir ficheros arbitrarios a través del método "doPost()" de las clase "com.trinagy.servlet.HelpManagerServlet".
Una explotación exitosa permitiría la ejecución de código arbitrario.
El fallo está reportado para las versiones 5.2, 5.3, 5.31, 5.4, y 5.41 que funcionan sobre HP-UX, Linux, Solaris y Windows.
CVE-2011-0276
Solución:Aplicar solución temporal. Contactar con el proveedor para más información.
Notas:HPSBMA02627 SSRT090246:
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02695453
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-11-034/