Vulnerability Bulletins |
Manipulación de archivos arbitrarios en HP Software Update en Windows |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software | HP Software Update utility on Windows |
Description |
|
|
Se ha encontrado una vulnerabilidad en HP Software Update en la versión 3.0.8.4 y posiblemente en otras versiones cuando se ejecuta bajo una plataforma Windows. La vulnerabilidad reside en un error en la librería dinámica RulesEngine.dll en el control ActiveX HPRulesEngine.ContentCollection.1. Un atacante remoto podría sobrescribir y corromper archivos de forma arbitraria mediante los argumentos del método SaveToFile y posiblemente también pueda acceder a archivos de forma arbitraria mediante el método LoadDataFromFile. Existe un exploit público disponible. |
|
Solution |
|
|
Actualización de software Hewlett-Packard HP Software Update utility - Patch HP SoftPaq SP38202 ftp://ftp.hp.com/pub/softpaq/sp38001-38500/ |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2007-6506 |
| BID | 26950 |
Other resources |
|
|
HP SECURITY BULLETIN (HPSBGN02301) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01311918-2 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-01-07 |