S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 octobre 2001
N° CERTA-2001-AVI-105
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans les agents de supervision Compaq

Gestion du document

Référence CERTA-2001-AVI-105
Titre Vulnérabilité dans les agents de supervision Compaq
Date de la première version01 octobre 2001
Date de la dernière version01 octobre 2001
Source(s) Avis de sécurité SSRT0758 de Compaq
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Les agents de supervision Compaq sont utilisés sur de nombreuses plate-formes du constructeur.

La liste des systèmes affectés est disponible sur le site de Compaq :

http://www.compaq.com/products/servers/management/mgtsw-advisory2.html

Résumé

Un utilisateur mal intentionné peut utiliser une vulnérabilité dans les agents de supervision Compaq interrogeables via HTTP pour exécuter du code arbitraire à distance avec les privilèges de l'administrateur.

Description

Les agents de supervision Compaq sont utilisés sur les équipements de ce constructeur.

Une vulnérabilité de type débordement de mémoire dans les agents d'administration accessibles via HTTP permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les privilèges de l'administrateur.

Contournement provisoire

Compaq rappelle que ce type de service ne devrait pas être accessible en dehors du réseau interne.

Il convient donc de bloquer l'accès au port 2301 au niveau des routeurs périphériques ou des pare-feux, rendant ainsi la vulnérabilité exploitable uniquement depuis le réseau interne.

Solution

Une mise-à-jour est disponible sur le site Compaq :

ftp://ftp.compaq.com/pub/softpaq/sp17501-1800/

Documentation

Gestion détaillée du document

    le 01 octobre 2001
    version initiale.