Risque
- Contournement de la politique de sécurité ;
- élévation de privilèges ;
- injection de code indirecte à distance.
Systèmes affectés
HP SOA Registry Fondation versions 6.64 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans HP SOA Registry Fondation permettent à un utilisateur distant de contourner la politique de sécurité du système, d'élever ses privilèges et de conduire des attaques de type injection de code indirecte.
Description
Plusieurs vulnérabilités non détaillées par l'éditeur sont présentes dans HP SOA Registry Fondation :
- la première permet à un utilisateur distant malintentionné d'obtenir un accès frauduleux à certaines données du système ;
- la seconde permet à un utilisateur distant malintentionné d'élever ses privilèges ;
- la dernière est relative à un manque de contrôle dans les entrées passées à certaines pages HTML et permet à un utilisateur distant de conduire des attaques de type injection de code indirecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP HPBMA02490 du 30 mars 2010 :
http://itrc.hp.com/service/cki/docDisplay.do?docId=HPBMA02490
- Référence CVE CVE-2010-0448 :
https://www.cve.org/CVERecord?id=CVE-2010-0448
- Référence CVE CVE-2010-0449 :
https://www.cve.org/CVERecord?id=CVE-2010-0449
- Référence CVE CVE-2010-0450 :
https://www.cve.org/CVERecord?id=CVE-2010-0450