Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Injection de code indirecte à distance
- Élévation de privilèges
Systèmes affectés
- HP Performance Manager v8.10.
- HP Performance Manager v8.20 ;
- HP Performance Manager v8.21 ;
Résumé
Plusieurs vulnérabilités découvertes dans HP Performance Manager permettent à un utilisateur distant malintentionné de provoquer un déni de service, de contourner la politique de sécurité, de porter atteinte à la confidentialité et à l'intégrité des données, d'élever ses privilèges ou encore de réaliser une attaque par injection de code indirecte.
Description
De nombreuses vulnérabilités ont été corrigées dans HP Performance Manager. Elles peuvent être exploitées par une personne malveillante afin de :
- de provoquer un déni de service (CVE-2009-0033) ;
- de contourner la politique de sécurité (CVE-2008-5515, CVE-2009-2901) ;
- de porter atteinte à l'intégrité des données (CVE-2009-0783, CVE-2009-2693, CVE-2009-2902) ;
- de porter atteinte à la confidentialité des données (CVE-2009-0580, CVE-2009-0783) ;
- d'élever ses privilèges (CVE-2009-3548) ;
- de réaliser une attaque par injection de code indirecte (CVE-2009-0781) ;
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP #c02181353 du 17 mai 2010 : http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02181353
- Bulletin de sécurité HP #c02181353 du 17 mai 2010 : http://itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02181353
- Référence CVE CVE-2008-5515 https://www.cve.org/CVERecord?id=CVE-2008-5515
- Référence CVE CVE-2009-0033 https://www.cve.org/CVERecord?id=CVE-2009-0033
- Référence CVE CVE-2009-0580 https://www.cve.org/CVERecord?id=CVE-2009-0580
- Référence CVE CVE-2009-0781 https://www.cve.org/CVERecord?id=CVE-2009-0781
- Référence CVE CVE-2009-0783 https://www.cve.org/CVERecord?id=CVE-2009-0783
- Référence CVE CVE-2009-2693 https://www.cve.org/CVERecord?id=CVE-2009-2693
- Référence CVE CVE-2009-2901 https://www.cve.org/CVERecord?id=CVE-2009-2901
- Référence CVE CVE-2009-2902 https://www.cve.org/CVERecord?id=CVE-2009-2902
- Référence CVE CVE-2009-3548 https://www.cve.org/CVERecord?id=CVE-2009-3548