HP OpenView lässt sich Befehle unterjubeln

Hewlett-Packards OpenView Network-Node-Manager (NNM) enthält fehlerhafte Skripte, die die Ausführung von Befehlen auf dem System erlauben. Da die Software im Netzwerk lauscht, ist die Lücke aus dem Netz ausnutzbar. NNM ist eine Komponente aus der Netzwerküberwachungs-Software OpenView, die automatisch Rechner, Switche und andere Geräte (Netzwerkknoten) auffindet, katalogisiert und deren Status überwacht.

David Litchfield, Mitgründer von Next Generation Security Software Ltd (NGSS), bestätigte heute diesen von James Fisher, Sicherheitsexperte bei Portcullis Computer Security Ltd, gemeldeten Fehler. Litchfield ergänzt das Advisory von Fisher um weitere betroffene Plattformen und Skripte: Der Fehler ist demnach außer in connectedNodes.ovpl auch in den Skripten cdpView.ovpl, freeIPaddrs.ovpl und ecscmg.ovpl zu finden, die auf den NNMs der Versionen 6.41 und 7.5 auf Sun Solaris (Sparc) oder Windows laufen. Die Lücke besteht darin, dass die Skripte die Eingaben nicht korrekt überprüfen. So lässt sich ein Befehl an die URL des Skriptes (von Pipes ('|') eingeschlossen) anhängen und mit den Rechten des Webservers ausführen.

Obwohl Litchfield den Fehler schon im Februar dieses Jahres an Hewlett-Packard gemeldet hat, steht bis jetzt kein Patch oder Workaround zur Verfügung. Der Zugriff sollte daher auf vertrauenswürdige Arbeitsstationen eingeschränkt werden.

Siehe dazu auch: (dmk)

• Security Advisory von James Fisher