Boletines de Vulnerabilidades |
Manipulación de archivos arbitrarios en HP Software Update en Windows |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado | HP Software Update utility on Windows |
Descripción |
|
Se ha encontrado una vulnerabilidad en HP Software Update en la versión 3.0.8.4 y posiblemente en otras versiones cuando se ejecuta bajo una plataforma Windows. La vulnerabilidad reside en un error en la librería dinámica RulesEngine.dll en el control ActiveX HPRulesEngine.ContentCollection.1. Un atacante remoto podría sobrescribir y corromper archivos de forma arbitraria mediante los argumentos del método SaveToFile y posiblemente también pueda acceder a archivos de forma arbitraria mediante el método LoadDataFromFile. Existe un exploit público disponible. |
|
Solución |
|
Actualización de software Hewlett-Packard HP Software Update utility - Patch HP SoftPaq SP38202 ftp://ftp.hp.com/pub/softpaq/sp38001-38500/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2007-6506 |
BID | 26950 |
Recursos adicionales |
|
HP SECURITY BULLETIN (HPSBGN02301) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01311918-2 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-01-07 |