Unautorisierter Dateizugriff durch HP System Management Homepage
Mit Hilfe eines so genannten Directory Traversals kann ein Angreifer unter Umständen auch auf Dateien außerhalb des vorgesehenen Web-Verzeichnisses zugreifen.
Durch eine Sicherheitslücke in dem Systemverwaltungs-Tool HP System Management Homepage (HP SMH) ist es einem Angreifer unter Umständen möglich, mit Hilfe eines Directory Traversals unautorisiert auf Dateien außerhalb des Web-Verzeichnisses zuzugreifen. Dies schreibt der Hersteller in einem eigenen Advisory. Dadurch könnten gegebenenfalls vertrauliche und interne Informationen preisgegeben werden, über die sich weitere Angriffe realisieren ließen.
Das Problem betrifft HP SMH fĂĽr Windows in den Versionen 2.0.0 bis einschlieĂźlich 2.1.4. Einen Patch stellt der Hersteller nicht bereit, beschreibt aber einen Workaround. FĂĽr englische Installationen ist dazu im Installtionsverzeichnis in der Datei installdir\data\help\web_cgi\.namazurc die auskommentierte Zeile #Lang en durch Lang en zu ersetzen. Gegebenenfalls ist noch die Sprachvariable entsprechend anzupassen.
Siehe dazu auch: (cr)
- HP System Management Homepage (SMH) Running on Windows: Remote Unauthorized Access, Advisory von HP (nur fĂĽr registrierte Kunden)
