Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/02/2011

Cuenta por defecto oculta en HP OpenView Performance Insight

Se ha informado de un fallo de seguridad en HP OpenView Performance Insight, que podría ser explotado por usuarios maliciosos para comprometer un sistemas vulnerable.

Se ha informado de un fallo de seguridad en HP OpenView Performance Insight, que podría ser explotado por usuarios maliciosos para comprometer un sistemas vulnerable.

El fallo es debido a que la clase de Java "com.trinagy.security.XMLUserManager" contiene una cuenta oculta. Esto puede ser explotado para subir ficheros arbitrarios a través del método "doPost()" de las clase "com.trinagy.servlet.HelpManagerServlet".

Una explotación exitosa permitiría la ejecución de código arbitrario.

El fallo está reportado para las versiones 5.2, 5.3, 5.31, 5.4, y 5.41 que funcionan sobre HP-UX, Linux, Solaris y Windows.

Sistemas Afectados: HP OpenView Performance Insight (OVPI) 5.x Referencias:

CVE-2011-0276

Solución:

Aplicar solución temporal. Contactar con el proveedor para más información.

Notas:

HPSBMA02627 SSRT090246:
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02695453

ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-11-034/

CSIRT-CV