S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 mars 2001
N° CERTA-2001-AVI-031
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de HP OpenView OmniBack sous HP-UX et Windows NT/2000

Gestion du document

Référence CERTA-2001-AVI-031
Titre Vulnérabilité de HP OpenView OmniBack sous HP-UX et Windows NT/2000
Date de la première version09 mars 2001
Date de la dernière version09 mars 2001
Source(s) Avis HP #0142
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Accès complet au système à distance sans compte utilisateur

Systèmes affectés

Windows NT 4.0, Windows 2000 et tous les systèmes HP-UX avec OpenView OmniBack (versions 3.00 et supérieures).

Résumé

Un utilisateur mal intentionné peut ouvrir une console avec des droits d'administrateur sur un système ayant le client OpenView Omniback.

Description

Le client OpenView Omniback d'HP permet d'effectuer des sauvegardes par le réseau. Une vulnérabilité de ce client permet à un utilisateur d'ouvrir une console à distance avec des droits d'administrateur.

Solution

Appliquer le correctif de HP selon la version d'OmniBack et le systèmes d'exploitation, à l'adresse :

http://europe-support.external.hp.com
  • OmniBack 3.50 sur HP-UX 10.x : PHSS_22914
  • OmniBack 3.50 sur HP-UX 11.x : PHSS_22915
  • OmniBack 3.10 sur HP-UX 10.x : PHSS_23095
  • OmniBack 3.10 sur HP-UX 11.x : PHSS_23096
  • OmniBack 3.00 sur HP-UX 10.x : PHSS_23103
  • OmniBack 3.00 sur HP-UX 11.x : PHSS_23104

Pour Windows NT et Windows 2000, appliquer le correctif : OmniBack_00017 - OmniBack 3.50

Documentation

Gestion détaillée du document

    le 09 mars 2001
    version initiale.