Risque
- Contournement de la politique de sécurité ;
- déni de service à distance.
Systèmes affectés
HP System Management Homepage.
Résumé
Un problème de sécurité présent sur l'authentification "Trust by name" HP System Management Homepage (SMH) peut être exploité par un utilisateur mal intentionné pour contourner la politique de sécurité et réaliser un deni de service de l'équipement géré par cet outil.
Description
HP System Management Homepage (SMH) est un outil capable d'assurer l'administration d'un équipement HP au travers d'une interface web.HP Systems Insight Manager(SIM) est un outil destiné à superviser un ensemble de machines équipés de SMH.
Un problème de sécurité dans le mode d'authentification Trust by name sur HP System Management Homepage (SMH) permet à un utilisateur mal intentionné de contourner le mécanisme d'authentification et d'effectuer des tâches d'administration sur le système.
Afin de sécuriser l'authentification sur SMH, HP recommande aux utilisateurs d'utiliser le mode d'authentification par certificat.
Contournement provisoire
- Utilisez l'authentification "Trust by certificate" certificat pour vous connecter au système avec HPSIM ;
- le CERTA vous recommande de filtrer le port destination 2381/tcp provenant de l'exterieur de votre réseau.
