S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 10 juin 2010 No CERTA-2008-ALE-006-001

Affaire suivie par :

CERTA

Objet : Vulnérabilités dans HP OpenView NNM

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité.

2 Systèmes affectés

D'autres versions peuvent être affectées.

3 Résumé

4 Description

• une vulnérabilité (CVE-2008-0068) provient d'un filtrage insuffisant d'un paramètre de CGI. Son exploitation permet à un utilisateur malveillant de contourner la politique de sécurité ;
• une vulnérabilité (CVE-2008-1697) concerne l'utilisation d'un paramètre de longueur élevée dans une requête HTTP. Cette exploitation permet à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
• une vulnérabilité (CVE-2008-1842) est présente dans le traitement de certaines requêtes vers le port TCP 8886. Son exploitation permet à un utilisateur malveillant de provoquer un déni de service à distance ou d'exécuter du code arbitraire à distance ;
• une vulnérabilité (CVE-2008-1851) provient de l'attente sans limite de temps lorsqu'une requête, adressée au port TCP 2954, est incomplète. Cette vulnérabilité peut servir à réaliser un déni de service ;
• une vulnérabilité (CVE-2008-1852) provient d'un problème d'allocation mémoire, provoqué par la déclaration d'un nombre trop important de paramètres dans une requête adressée au port TCP 2954. L'exploitation de la vulnérabilité provoque une arrêt inopiné du programme ;
• une vulnérabilité (CVE-2008-1853) permet l'arrêt du service par l'envoi d'un paquet d'une certaine forme sur le port TCP 2532. L'utilisateur malveillant peut provoquer un déni de service à distance.

Des codes exploitant ces vulnérabilités sont disponibles sur l'Internet.

5 Contournement provisoire

• n'autoriser l'accès au serveur qu'aux utilisateurs en ayant besoin ;
• filtrer les accès depuis les réseaux vers le serveur HP OpenView Network Node Manager;
• bloquer les flux depuis l'Internet vers le serveur sur les ports TCP 80, 2532, 2954 et 8886 ou vérifier que ce blocage est effectif s'il est déjà prévu dans la politique de sécurité ;
• surveiller attentivement les journaux des filtres et des serveurs, en particulier l'activité liée à ces ports et l'activité depuis le serveur HP OpenView Network Node Manager.

6 Solution

7 Documentation

• Site de téléchargement desz correctifs HP :

  http://support.openview.hp.com/selfsolve/patches
  

• Bulletin de sécurité HP c01471755 du 10 juin 2008 :

  http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01471755
  

• Bulletin de sécurité HP c01495949 du 11 mai 2009 :

  http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01495949
  

• Bulletin de sécurité HP c01496048 du 11 mai 2009 :

  http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01496048
  

• Référence CVE CVE-2008-0068 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0068
  

• Référence CVE CVE-2008-1697 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1697
  

• Référence CVE CVE-2008-1842 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1842
  

• Référence CVE CVE-2008-1851 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1851
  

• Référence CVE CVE-2008-1852 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1852
  

• Référence CVE CVE-2008-1853 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1853
  

Gestion détaillée du document

18 avril 2008

version initiale.

10 juin 2010

ajout des correctifs et des bulletins HP.