Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- HP Openview Network Node Manager (NNM) 6.41 ;
- HP Openview Network Node Manager (NNM) 7.01 ;
- HP Openview Network Node Manager (NNM) 7.51.
Résumé
De multiples vulnérabilités permettant l'exécution de code arbitraire depuis un réseau local ont été corrigées dans HP Openview.
Description
HP Openview a publié le 15 avril 2008 un correctif de sécurité permettant de résoudre plusieurs anciennes vulnérabilités présentes au niveau de la version embarquée d'Apache.
Ces vulnérabilités permettent à un utilisateur malintentionné de réaliser de l'injection de code indirecte (XSS), un déni de service à distance depuis le réseau local, ou l'exécution de code arbitraire à distance depuis le réseau local.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP HPSBMA02328 du 15 avril 2008 :
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01428449
- Référence CVE CVE-2005-3352 :
https://www.cve.org/CVERecord?id=CVE-2005-3352
- Référence CVE CVE-2005-3357 :
https://www.cve.org/CVERecord?id=CVE-2005-3357
- Référence CVE CVE-2006-3747 :
https://www.cve.org/CVERecord?id=CVE-2006-3747