UPDATE: DFN-CERT-2012-0892 Schwachstellen in HP Performance Insight [Linux][Unix][HP-UX][Solaris][Windows]

UPDATE: DFN-CERT-2012-0892 Schwachstellen in HP Performance Insight [Linux][Unix][HP-UX][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 1.0 (08.05.2012):
Neues Advisory
Version 2.0 (10.05.2012):
Mit diesem Update gibt HP bekannt, dass die vorher benannten
Schwachstellen CVE-2011-2007, CVE-2011-2008, CVE-2011-2009 falsch waren.
Die Software ist von den Schwachstellen aus 2012: CVE-2012-2007,
CVE-2012-2008 und CVE-2012-2009 betroffen.

Betroffene Software:

HP Performance Insight for Networks Running v5.3.x, v5.41, v5.41.001,
v5.41.002

Betroffene Plattformen:

HP-UX, Linux, Solaris und Windows

Mehrere Schwachstellen in HP Performance Insight for Networks ermöglichen
einem entfernten Angreifer SQL Injection, Cross-Site Scripting Angriffe oder
seine Rechte zu erweitern.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://support.itrc.hp.com/

CVE-2012-2008: Cross-Site Scripting Schwachstelle in HP Performance Insight
for Networks

In HP Performance Insight for Networks ist eine Cross-Site Scripting (XSS)
Schwachstelle enthalten. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um Script- oder HTML-Code im Browser eines Benutzers auszuführen.

CVE-2012-2009: Schwachstelle in HP Performance Insight for Networks

Eine nicht näher beschriebene Schwachstelle in HP Performance Insight for
Networks kann ein entfernter, authentifizierter Angreifer ausnutzen um seine
Berechtigungen zu erweitern.

CVE-2012-2007: SQL Injection Schwachstelle in HP Performance Insight for
Networks

In HP Performance Insight for Networks ist eine nicht näher beschriebene SQL
Injection Schwachstelle enthalten. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um beliebige SQL Befehle auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0892/

Das Hersteller Advisory:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03312417

Schwachstelle CVE-2012-2007:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2007

Schwachstelle CVE-2012-2008:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2008

Schwachstelle CVE-2012-2009:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2009

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben