Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/02/2011

Compte per defecte ocult en HP OpenView Performance Insight

S'ha informat d'un fallada de seguretat en HP OpenView Performance Insight, que podria ser explotada per usuaris maliciosos per a comprometre sistemes vulnerables.

S'ha informat d'un fallada de seguretat en HP OpenView Performance Insight, que podria ser explotada per usuaris maliciosos per a comprometre sistemes vulnerables.

La fallada és deguda al fet que la classe de Java "com.trinagy.security.XMLUserManager" conté un compte ocult. Açò pot ser explotat per a pujar fitxers arbitraris a través del mètode "doPost()" de les classe "com.trinagy.servlet.HelpManagerServlet".

Una explotació reeixida permetria l'execució de codi arbitrari.

La fallada està reportada per a les versions 5.2, 5.3, 5.31, 5.4 i 5.41, que funcionen sobre HP-UX, Linux, Solaris i Windows.

Sistemes Afectats: HP OpenView Performance Insight (OVPI) 5.x Referències:

CVE-2011-0276

Solució:

Apliqueu la solució temporal. Contacteu amb el proveïdor per a més informació.

Notes:

HPSBMA02627 SSRT090246:
https://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02695453

ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-11-034/

CSIRT-CV