Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- HP Openview Network Node Manager (NNM) 6.41 ;
- HP Openview Network Node Manager (NNM) 7.01 ;
- HP Openview Network Node Manager (NNM) 7.51.
Résumé
De multiples vulnérabilités permettant l'exécution de code arbitraire depuis un réseau local ont été corrigées dans HP Openview.
Description
HP Openview a publié le 15 avril 2008 un correctif de sécurité permettant de résoudre plusieurs anciennes vulnérabilités présentes au niveau de la version embarquée d'Apache.
Ces vulnérabilités permettent à un utilisateur malintentionné de réaliser de l'injection de code indirecte (XSS), un déni de service à distance depuis le réseau local, ou l'exécution de code arbitraire à distance depuis le réseau local.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP HPSBMA02328 du 15 avril 2008 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01428449
- Référence CVE CVE-2005-3352 https://www.cve.org/CVERecord?id=CVE-2005-3352
- Référence CVE CVE-2005-3357 https://www.cve.org/CVERecord?id=CVE-2005-3357
- Référence CVE CVE-2006-3747 https://www.cve.org/CVERecord?id=CVE-2006-3747
