Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
HP Data Protector Media Operations bis einschliesslich Version 6.11
Betroffene Plattformen:
Alle Plattformen, fÃŒr die die Software verfÃŒgbar ist.
Eine nicht nÀher beschriebene Schwachstelle im HP Data Protector Media
Operations erlaubt es einem entfernten Angreifer beliebige Befehle in die
Software einzuschleusen und auszufÃŒhren.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2011-4791: Schwachstelle in HP Data Protector Media Operations
Der HP Data Protector Media Operations enthÀlt eine Schwachstelle im Prozess
‘DBServer.exe’. Dabei wird ein vom Benutzer kontrollierter Length-Parameter
nicht ÃŒberprÃŒft, bevor dieser fÃŒr Speicherzugriffe verwendet wird, was zu
Fehlern in der Speicherverwaltung fÃŒhrt. Gelingt es einem entfernten
Angreifer, diese Schwachstelle auszunutzen, so kann er schlimmstenfalls
beliebige Befehle mit Administratorrechten ausfÃŒhren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0186/
Das Hersteller Advisory:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03179046
Schwachstelle CVE-2011-4791:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4791
Adivsory von Zero Day Initiative:
http://www.zerodayinitiative.com/advisories/ZDI-11-112/
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
