В UCMDB от HP обнаружена уязвимость раскрытия информации
Разработчики компании опубликовали инструкции для смены конфигурации UCMDB.
В UCMDB (Universal Configuration Management Database) от HP была обнаружена уязвимость, позволяющая удаленно получить доступ к конфиденциальной информации. Выявить брешь удалось Гансу-Мартину Мюнху (Hans-Martin Münch) из немецкой компании Mogwai Security.
По данным разработчиков HP, уязвимость (CVE-2014-7883) затрагивает версии v9.05, v10.01 и v10.11. Исправления безопасности для не пока нет, однако компания опубликовала инструкции по смене конфигурации, что позволяет предотвратить эксплуатацию бреши.
Вместе с тем, в Mogwai Security подчеркивают , что недостаток существует из-за ошибки во одном из встроенных компонентов. Путем ее эксплуатации атакующий может обойти процесс аутентификации в web-приложении JMX-Console, которое осуществляет управление доступом для методов POST и GET.
UCMDB используется многими IT-компаниями для управления такими задачами, как управление активами, бизнес-услугами и т.п.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!