В UCMDB от HP обнаружена уязвимость раскрытия информации

image

Теги: уязвимость, UCMDB, HP

Разработчики компании опубликовали инструкции для смены конфигурации UCMDB.

В UCMDB (Universal Configuration Management Database) от HP была обнаружена уязвимость, позволяющая удаленно получить доступ к конфиденциальной информации. Выявить брешь удалось Гансу-Мартину Мюнху (Hans-Martin Münch) из немецкой компании Mogwai Security.

По данным разработчиков HP, уязвимость (CVE-2014-7883) затрагивает версии v9.05, v10.01 и v10.11. Исправления безопасности для не пока нет, однако компания опубликовала инструкции по смене конфигурации, что позволяет предотвратить эксплуатацию бреши.

Вместе с тем, в Mogwai Security подчеркивают , что недостаток существует из-за ошибки во одном из встроенных компонентов. Путем ее эксплуатации атакующий может обойти процесс аутентификации в web-приложении JMX-Console, которое осуществляет управление доступом для методов POST и GET.

UCMDB используется многими IT-компаниями для управления такими задачами, как управление активами, бизнес-услугами и т.п. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus