RUS-CERT-1525 – Archivierte Meldung

Meldung Nr: RUS-CERT-1525

[Generic/HP OpenView] Mehrere Schwachstellen im HP OpenView Network Node Manager
(2009-03-24 12:37:36.38475+00)

Quelle: http://www.coresecurity.com/content/openview-buffer-overflows

Mehrere Pufferüberlaufschwachstellen in Hewlett-Packards Netzwerkadministrationswerkzeug OpenView Network Node Manager können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

Zusammenfassung

CVE-2009-0920:

Betroffen:	HP OpenView Network Node Manager 7.01, 7.51, 7.53, 7.53NNM_01195, evtl. frühere Versionen
Einfallstor:	HTTP-Request
Angriffsvoraussetzung:	Netzwerk
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung (Pufferüberlaufschwachstelle)
Gefahrenpotential:	hoch
Bedrohungspotential:	sehr hoch
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-0920

CVE-2009-0921:

Betroffen:	HP OpenView Network Node Manager 7.51, 7.53, 7.53NNM_01195, evtl. frühere Versionen
Einfallstor:	HTTP-Request
Angriffsvoraussetzung:	Netzwerk
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung (Pufferüberlaufschwachstelle)
Gefahrenpotential:	hoch
Bedrohungspotential:	sehr hoch
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-0921, BID 34134, BID 34135

Betroffene Systeme

CVE-2009-0920:
- OpenView Network Node 7.01
- OpenView Network Node 7.51
- OpenView Network Node 7.53
- OpenView Network Node 7.53NNM_01195
- möglicherweise weitere (frühere) Versionen
CVE-2009-0921:
- OpenView Network Node 7.51-7.53NNM_01195
- OpenView Network Node 7.53
- OpenView Network Node 7.53NNM_01195
- möglicherweise weitere (frühere) Versionen

Einfallstor

CVE-2009-0920:
HTTP-Request
CVE-2009-0921:
- BID 34134:
  HTTP-Request
- BID 34135:
  HTTP-Request

Angriffsvoraussetzung

CVE-2009-0920:
Zugriff auf ein Netzwerk, über das HTTP-Requests an die Webschnittstelle des HP OpenView Network Node Managers gesandt werden können
(network)
CVE-2009-0921:
- BID 34134:
  Zugriff auf ein Netzwerk, über das HTTP-Requests an die Webschnittstelle des HP OpenView Network Node Managers gesandt werden können
  (network)
- BID 34135:
  Zugriff auf ein Netzwerk, über das HTTP-Requests an die Webschnittstelle des HP OpenView Network Node Managers gesandt werden können
  (network)

Angriffsvektorklasse

CVE-2009-0920:
über eine Netzwerkverbindung
(remote)
CVE-2009-0921:
- BID 34134:
  über eine Netzwerkverbindung
  (remote)
- BID 34135:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

CVE-2009-0920:
Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des HP OpenView Network Node Manager-Prozesses
(user compromise)
CVE-2009-0921:
- BID 34134:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des HP OpenView Network Node Manager-Prozesses
  (user compromise)
- BID 34135:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des HP OpenView Network Node Manager-Prozesses
  (user compromise)

Typ der Verwundbarkeit

CVE-2009-0920:
Pufferüberlaufschwachstelle
(memory corruption)
CVE-2009-0921:
- BID 34134:
  Pufferüberlaufschwachstelle
  (memory corruption)
- BID 34135:
  Pufferüberlaufschwachstelle
  (memory corruption)

Gefahrenpotential

CVE-2009-0920:
hoch
CVE-2009-0921:
- BID 34134:
  hoch
- BID 34135:
  hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Bedrohungspotential

Der HP OpenView Network Node Manager ist als zentrales Netzwerküberwachungs- und -administrationssystem meist an zentraler Stelle platziert und hat Zugriff auf die Administratiosschnittstellen der zu überwachenden Netzwerkinfrastruktur. Aus diesem Grund stellt die Kompromittierung auch eines nicht-administrativen Benutzers, der zudem Zugriff auf die Software hat, ein sehr hohes Bedrohungspotential für die überwachte IT-Infrastruktur dar.

CVE-2009-0920:
sehr hoch
CVE-2009-0921:
- BID 34134:
  sehr hoch
- BID 34135:
  sehr hoch

Beschreibung

CVE-2009-0920:
Eine Pufferüberlaufschwachstelle im Hewlett-Packard OpenView Network Node Manager kann von einem Angreifer durch das Senden eines entsprechend präparierten HTTP-Requests an die Web-basierte Benutzungsschnittstelle der Applikation dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien der Applikation auszuführen.
Aus diesem Grund ist das technische Gefahrenpotential der Schwachstelle nur als "hoch" eingestuft, da das beherbergende System nicht unmittelbar kompromittiert werden kann. Da der Network Node Manager üblicherweise jedoch auf einem zentralen System installiert ist und Zugriff auf die Komponenten der Netzwerkinfrastruktur besitzt, stellt die erfolgreiche Ausnutzung dieser Schwachstelle in einem solchen Fall meist eine sehr große Bedrohung für die mit der Applikation verwalteten IT-Infrastruktur dar.

Aus diesem Grund wird die Installation der entsprechenden Patches dringend empfohlen.
CVE-2009-0921:
Zwei Pufferüberlaufschwachstelled im Hewlett-Packard OpenView Network Node Manager können von einem Angreifer durch das Senden eines entsprechend präparierten HTTP-Requests an die Web-basierte Benutzungsschnittstelle der Applikation dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien der Applikation auszuführen.
Aus diesem Grund ist das technische Gefahrenpotential der Schwachstelle nur als "hoch" eingestuft, da das beherbergende System nicht unmittelbar kompromittiert werden kann. Da der Network Node Manager üblicherweise jedoch auf einem zentralen System installiert ist und Zugriff auf die Komponenten der Netzwerkinfrastruktur besitzt, stellt die erfolgreiche Ausnutzung dieser Schwachstelle in einem solchen Fall meist eine sehr große Bedrohung für die mit der Applikation verwalteten IT-Infrastruktur dar.

Aus diesem Grund wird die Installation der entsprechenden Patches dringend empfohlen.

Workaround

CVE-2009-0920:
- Beschränken des Zugriffs auf die Web-basierte Benutzungsschnittstelle des HP OpenView Network Node Managers z.B. mittels Firewalls auf das absolut notwendige Minimum
Hinweis: Diese Maßnahmen beheben die Schwachstellen nicht, sie verhindern lediglich ihre Ausnutzung bzw. schränken den Kreis der möglichen Angreifer ein. Ein Workaround sollte nicht als Dauerlösung angewandt werden! Es sollten die empfohlenen Gegenmaßnahmen ergriffen werden, sobald diese verfügbar sind.
CVE-2009-0921:
- Beschränken des Zugriffs auf die Web-basierte Benutzungsschnittstelle des HP OpenView Network Node Managers z.B. mittels Firewalls auf das absolut notwendige Minimum
Hinweis: Diese Maßnahmen beheben die Schwachstellen nicht, sie verhindern lediglich ihre Ausnutzung bzw. schränken den Kreis der möglichen Angreifer ein. Ein Workaround sollte nicht als Dauerlösung angewandt werden! Es sollten die empfohlenen Gegenmaßnahmen ergriffen werden, sobald diese verfügbar sind.

Gegenmaßnahmen

CVE-2009-0920:
Installation der durch HP bereitgestellten Patches:
- http://support.openview.hp.com/selfsolve/patches
- ftp://ss090008:ss090008@hprc.external.hp.com/
CVE-2009-0921:
Installation der durch HP bereitgestellten Patches:
- http://support.openview.hp.com/selfsolve/patches
- ftp://ss090008:ss090008@hprc.external.hp.com/

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1525