Risque
- Exécution de code arbitraire ;
- déni de service ;
- élévation de privilèges ;
- injection de code indirecte à distance ;
- injection de requêtes illégitime par rebond.
Systèmes affectés
HP Systems Insight Manager, versions antérieures à la version 6.2.
Résumé
Plusieurs vulnérabilités affectent HP Systems Insight Manager dont certaines ne concernent que les plateformes exécutant également Adobe Flash.
Description
Plusieurs vulnérabilités affectent HP Systems Insight Manager :
- (CVE-2010-3288) une injection de requêtes illégitime par rebond (CRSF) permet de détourner l'authentification de certains utilisateurs ;
- (CVE-2010-3289) une vulnérabilité non pécisée permet de l'injection de code indirecte à distance (XSS) ;
- (CVE-2010-3290) une vulnérabilité non pécisée permet à un utilisateur malveillant d'élever ses privilèges.
De plus, quand Adobe Flash est également exécuté sur l'ordinateur, des vulnérabilités de ce logiciel permettent du détournement de clic (clickjacking), du déni de service ou de l'exécution de code arbitraire.
Solution
La version 6.2 de HP Systems Insight Manager résoud ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP HPBMA02591 du 18 octobre 2010 :
http://itrc.hp.com/service/cki/docDisplay.do?docId=HPBMA02591
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02549477
- Bulletin de sécurité HP HPBMA02592 du 18 octobre 2010 :
http://itrc.hp.com/service/cki/docDisplay.do?docId=HPBMA02592
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02549485
- Référence CVE CVE-2010-0209 :
https://www.cve.org/CVERecord?id=CVE-2010-0209
- Référence CVE CVE-2010-2213 :
https://www.cve.org/CVERecord?id=CVE-2010-2213
- Référence CVE CVE-2010-2214 :
https://www.cve.org/CVERecord?id=CVE-2010-2214
- Référence CVE CVE-2010-2215 :
https://www.cve.org/CVERecord?id=CVE-2010-2215
- Référence CVE CVE-2010-3288 :
https://www.cve.org/CVERecord?id=CVE-2010-3288
- Référence CVE CVE-2010-3289 :
https://www.cve.org/CVERecord?id=CVE-2010-3289
- Référence CVE CVE-2010-3290 :
https://www.cve.org/CVERecord?id=CVE-2010-3290