Risque
- Déni de service ;
- accès non autorisé.
Systèmes affectés
- Les anciennes versions des produits JetDirect (se référer au bulletin de sécurité HP pour connaître les versions vulnérables) ;
- les commutateurs HP procurve 2524 (Produit J4813A) ;
- Network Node Manager (NNM) ;
- HP-UX 10.x 11.x avec snmpd ou HPOpenview.
Description
Les tests effectués par l'université finlandaise d'Oulu ont mis en évidence la présence de vulnérabilités dans les routines de décodage et de traitement des messages SNMP dans de nombreuses implémentations (se référer au bulletin d'alerte CERTA-2002-ALE-004 du CERTA).
Un utilisateur mal intentionné peut utiliser une vulnérabilité de l'agent SNMP pour exécuter du code arbitraire avec les privilèges de l'administrateur root ou effectuer des dénis de services sur les équipements HP concernés.
Cette vulnérabilité, de type débordement de mémoire, est exploitable à distance.
Contournement provisoire
- Filtrer le port 161/udp sur le garde-barrière de façon à éviter une attaque provenant de lInternet.
- Pour les systèmes munis de NNM désactiver snmpd et snmpdm.
NOTA : Dans son bulletin de sécurité, HP souligne le fait que supprimer snmp peut entrainer des dysfonctionnements inattendus, entre autres, sur les systèmes EMS (Event Monitoring System) et MC/ServiceGuard (supervision des clusters).
Solution
Se référer au bulletin de sécurité de HP (cf. section Documentation) pour la disponibilité des correctifs.
Documentation
Le bulletin de sécurité HPSBUX0202-184 de HP disponible sur le site :
http://www.itrc.hp.com
