Risques
- Accès aux données
- Contournement des règles de sécurité
Systèmes affectés
- HP Web JetAdmin Version 5.6 (HP-UX 10.20)
- HP Web JetAdmin Version 5.6 (HP-UX 11.x)
- HP Web JetAdmin Version 5.6 (Linux - SuSe)
- HP Web JetAdmin Version 5.6 (Microsoft Windows 2000)
- HP Web JetAdmin Version 5.6 (Microsoft Windows NT 4.0) (Testé par CERTA)
- HP Web JetAdmin Version 5.6 (Novell Netware)
- HP Web JetAdmin Version 5.6 (Red Hat Linux)
- HP Web JetAdmin Version 5.6 (Solaris)
Description
Par le biais d'une URL construite astucieusement, un utilisateur mal intentionné peu avoir accès à certains fichiers présents sur le serveur équipé de HP Web JetAdmin.
Solution
4.1 Passage en version 6
Le passage en version 6 de HP Web jetAdmin supprime cette vulnérabilité mais une autre faille a été découverte : grâce à une URL mal formée un utilisateur distant peut entraîner un déni de service sur la machine hébergeant HP Web JetAdmin.
4.2 Solution temporaire
Dans le gestionnaire de l'application, n'autoriser l'accès que sur des adresses IP de machines reconnues sûres.
Editeur Informé : Un correctif est en cours de réalisation.