Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-026 : Vulnérabilités multiples dans HP OpenView Network Node Manager

Liens institutionnels

Vulnérabilités multiples dans HP OpenView Network Node Manager

Numéro : AV10-026
Date : 3 août 2010

Objet

Cet avis a pour objet d'attirer votre attention sur plusieurs vulnérabilités exploitables à distance dans certaines versions de HP OpenView Network Node Manager.

Évaluation

Les trois vulnérabilités de gravité élevée ont été récemment détectées dans le logiciel HP OpenView Network Node Manager Software :

CVE-2010-2709
Cote CVSS : 7.5 (élevé)
Date :  3 août 2010
On peut exploiter cette vulnérabilité à distance afin de faire exécuter le code voulu dans le contexte du compte utilisateur qui exécute le serveur Web.
Références :
http://securitytracker.com/alerts/2010/Aug/1024274.html
http://seclists.org/bugtraq/2010/Aug/21

CVE-2010-2704
Cote CVSS : 10 (élevé)
Date : 21 juillet 2010
Mise à jour : 28 juillet 2010
Un utilisateur éloigné peut envoyer des données spécialement conçues afin d'entraîner un débordement de tampon dans nnmrptconfig.exe et ainsi permettre l'exécution de code arbitraire sur le système visé. Ce code s'exécute avec les mêmes droits d'accès que le service Web visé.
Références :
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02290344
http://securitytracker.com/alerts/2010/Jul/1024238.html
http://www.vupen.com/english/advisories/2010/1866
http://www.securityfocus.com/archive/1/archive/1/512544/100/0/threaded

CVE-2010-2703
Cote CVSS : 10 (élevé)
Date : 20 juillet 2010
Mise à jour : 28 juillet 2010
Un utilisateur éloigné peut envoyer des données spécialement conçues afin d'entraîner un débordement de tampon dans ov.dll et ainsi permettre l'exécution de code arbitraire sur le système visé. Ce code s'exécute avec les mêmes droits d'accès que le service visé. Seuls les systèmes Windows sont touchés.
Références :
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02286088
http://securitytracker.com/alerts/2010/Jul/1024224.html
http://www.vupen.com/english/advisories/2010/1866
http://www.securityfocus.com/archive/1/archive/1/512552/100/0/threaded

Le fabricant a publié un correctif pour chacune de ces vulnérabilités.

Produits touchés :

  • HP OpenView Network Node Manager (OV NNM) version 7.51   
  • HP OpenView Network Node Manager (OV NNM), version 7.53  

Mesure suggérée

Le CCRIC recommande aux organismes d'entrer en contact avec les administrateurs ou les responsables des produits touchés afin d'évaluer leur vulnérabilité et appliquer les correctifs ou mesures de contournement appropriés recommandés par le fabricant.

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-08-03
Haut de la page
Haut de la page
Avis importants