Objet: Multiples vulnérabilités dans HP Performance Manager

Risque

• Déni de service à distance ;
• contournement de la politique de sécurité ;
• atteinte à l'intégrité des données ;
• atteinte à la confidentialité des données ;
• élévation de privilèges ;
• injection de code indirecte à distance.

Systèmes affectés

• HP Performance Manager v8.21 ;
• HP Performance Manager v8.20 ;
• HP Performance Manager v8.10.

Résumé

Plusieurs vulnérabilités découvertes dans HP Performance Manager permettent à un utilisateur distant malintentionné de provoquer un déni de service, de contourner la politique de sécurité, de porter atteinte à la confidentialité et à l'intégrité des données, d'élever ses privilèges ou encore de réaliser une attaque par injection de code indirecte.

Description

De nombreuses vulnérabilités ont été corrigées dans HP Performance Manager. Elles peuvent être exploitées par une personne malveillante afin de :

• de provoquer un déni de service (CVE-2009-0033) ;
• de contourner la politique de sécurité (CVE-2008-5515, CVE-2009-2901) ;
• de porter atteinte à l'intégrité des données (CVE-2009-0783, CVE-2009-2693, CVE-2009-2902) ;
• de porter atteinte à la confidentialité des données (CVE-2009-0580, CVE-2009-0783) ;
• d'élever ses privilèges (CVE-2009-3548) ;
• de réaliser une attaque par injection de code indirecte (CVE-2009-0781) ;

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité HP #c02181353 du 17 mai 2010 :

  http://itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02181353
  

  http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02181353
  

• Référence CVE CVE-2008-5515 :

  https://www.cve.org/CVERecord?id=CVE-2008-5515
  

• Référence CVE CVE-2009-0033 :

  https://www.cve.org/CVERecord?id=CVE-2009-0033
  

• Référence CVE CVE-2009-0580 :

  https://www.cve.org/CVERecord?id=CVE-2009-0580
  

• Référence CVE CVE-2009-0781 :

  https://www.cve.org/CVERecord?id=CVE-2009-0781
  

• Référence CVE CVE-2009-0783 :

  https://www.cve.org/CVERecord?id=CVE-2009-0783
  

• Référence CVE CVE-2009-2693 :

  https://www.cve.org/CVERecord?id=CVE-2009-2693
  

• Référence CVE CVE-2009-2901 :

  https://www.cve.org/CVERecord?id=CVE-2009-2901
  

• Référence CVE CVE-2009-2902 :

  https://www.cve.org/CVERecord?id=CVE-2009-2902
  

• Référence CVE CVE-2009-3548 :

  https://www.cve.org/CVERecord?id=CVE-2009-3548