Vulnerability Bulletins |
Ejecución arbitraria de comandos en HP OpenView Network Node Manager |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
HP OpenView Network Node Manager (NNM) 6.2 HP OpenView Network Node Manager (NNM) 6.4 HP OpenView Network Node Manager (NNM) 7.01 HP OpenView Network Node Manager (NNM) 7.50 |
Description |
|
|
Se ha descubierto una vulnerabilidad en HP Openview Network Node Manager. La vulnerabilidad se debe a un parámetro no validado correctamente en los scripts cgi-bin/connectedNodes.ovpl, cdpView.ovpl, freeIPaddrs.ovpl, y ecscmg.ovpl. La explotación de esta vulnerabilidad podría permitir a un atacante de la red local ejecutar comandos shell arbitrarios a través de cadenas especialmente diseñadas que contengan meta caracteres de shell. |
|
Solution |
|
|
Actualización de software Hewlett-Packard HP-UX B.11.23 (IA) / OV NNM 7.50 / PHSS_33784 HP-UX B.11.23 / OV NNM 7.50 / PHSS_33783 HP-UX B.11.11 / OV NNM 6.20 / PHSS_34008 HP-UX B.11.11 / OV NNM 6.4x / PHSS_34202 HP-UX B.11.11 / OV NNM 7.01 / PHSS_33842 HP-UX B.11.11 / OV NNM 7.50 / PHSS_33783 HP-UX B.11.00 / OV NNM 6.20 / PHSS_34008 HP-UX B.11.00 / OV NNM 6.4x / PHSS_34202 HP-UX B.11.00 / OV NNM 7.01 / PHSS_33842 HP-UX B.11.00 / OV NNM 7.50 / PHSS_33783 Solaris / OV NNM 6.20 / PSOV_03434 Solaris / OV NNM 6.4x / PSOV_03437 Solaris / OV NNM 7.01 / PSOV_03430 Solaris / OV NNM 7.50 / PSOV_03425 Windows / OV NNM 6.20 / NNM_01113 Windows / OV NNM 6.4x / NNM_01116 Windows / OV NNM 7.01 / NNM_01110 Windows / OV NNM 7.50 / NNM_01106 Linux / OV NNM 7.50 / LSOV_00022 http://support.openview.hp.com/patches/patch_index.jsp |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2005-2773 |
| BID | |
Other resources |
|
|
HP Security Advisory HPSBMA01224 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01224 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-08-31 |
| 1.1 | CAN añadido. Aviso actualizado por HP (SSRT051023) | 2005-10-14 |
| 1.2 | Aviso actualizado por HP (HPSBMA01224) | 2006-02-17 |
| 2.0 | Exploit público disponible | 2006-03-10 |