HP OpenView 产品 httpd.tkd 非授权访问数据漏洞
来源:岁月联盟
时间:2007-11-06
HP OpenView Client Configuration Manager 2.0
HP CM infrastructure (Radia) v4.2i
HP CM infrastructure (Radia) v4.2
HP CM infrastructure (Radia) v4.1
HP CM infrastructure (Radia) v4.0
描述:
CVE(CAN) ID: CVE-2007-5413
HP OpenView是惠普公司开发的系列网络管理软件。
OpenView产品系列中的配置管理(CM)基础架构(Radia)和客户端配置管理器(CCM)所使用的httpd.tkd模块在处理HTTP请求时存在漏洞,远程安全者可能利用此漏洞操控系统上的任意文件。
如果远程安全者向HTTP服务器的默认TCP 3465端口提交了包含有~root之类路径的特制URL的话,就可以访问基础操作系统上的任意文件。
厂商补丁:
HP已经为此发布了一个安全公告(HPSBMA02279)以及相应补丁:
HPSBMA02279:SSRT071298 rev.1 - HP OpenView Configuration Management (CM) Infrastructure (Radia) and Client Configuration Manager (CCM) Running httpd.tkd, Remote Unauthorized Access to Data
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01205079&printver=true