CERTA-2009-AVI-163

Vulnerability from certfr_avis - Published: - Updated:

Plusieurs vulnérabilités de HP StorageWorks Storage Mirroring permettent à un individu malintentionné et distant d'exécuter du code arbitraire, de réaliser un déni de service et de contourner la politique de sécurité.

Description

Il existe plusieurs vulnérabilités dans HP StorageWorks Storage Mirroring :

  • la première concerne un débordement de mémoire dans le module Auto-Discovery, un individu malintentionné et distant peut exécuter du code arbitraire à l'aide d'un paquet UDP contruit de façon particulière ;
  • la deuxième concerne la console de management (Management Console), un individu malintentionné et distant peut réaliser un déni de service à l'aide d'un paquet UDP contruit de façon particulière ;
  • la dernière concerne une faiblesse de chiffrement présente dans le module d'authentification de HP StorageWorks Storage Mirroring, un individu malintentionné et distant peut contourner la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
N/A N/A HP StorageWorks Storage Mirroring versions antérieures à 5.1.1.1090.15.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "HP StorageWorks Storage Mirroring versions ant\u00e9rieures \u00e0 5.1.1.1090.15.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nIl existe plusieurs vuln\u00e9rabilit\u00e9s dans HP StorageWorks Storage\nMirroring :\n\n-   la premi\u00e8re concerne un d\u00e9bordement de m\u00e9moire dans le module\n    Auto-Discovery, un individu malintentionn\u00e9 et distant peut ex\u00e9cuter\n    du code arbitraire \u00e0 l\u0027aide d\u0027un paquet UDP contruit de fa\u00e7on\n    particuli\u00e8re ;\n-   la deuxi\u00e8me concerne la console de management (Management Console),\n    un individu malintentionn\u00e9 et distant peut r\u00e9aliser un d\u00e9ni de\n    service \u00e0 l\u0027aide d\u0027un paquet UDP contruit de fa\u00e7on particuli\u00e8re ;\n-   la derni\u00e8re concerne une faiblesse de chiffrement pr\u00e9sente dans le\n    module d\u0027authentification de HP StorageWorks Storage Mirroring, un\n    individu malintentionn\u00e9 et distant peut contourner la politique de\n    s\u00e9curit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-0718",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0718"
    },
    {
      "name": "CVE-2009-0716",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0716"
    },
    {
      "name": "CVE-2009-0717",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0717"
    }
  ],
  "links": [],
  "reference": "CERTA-2009-AVI-163",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-04-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s de \u003cspan class=\"textit\"\u003eHP StorageWorks Storage\nMirroring\u003c/span\u003e permettent \u00e0 un individu malintentionn\u00e9 et distant\nd\u0027ex\u00e9cuter du code arbitraire, de r\u00e9aliser un d\u00e9ni de service et de\ncontourner la politique de s\u00e9curit\u00e9.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans HP StorageWorks",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 HP c01707538 du 20 avril 2009",
      "url": "http://itrc.hp.com/service/cki/docDisplay.do?docId=c01707538"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.