Множественные уязвимости в HP ProCurve Manager

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить неавторизованное изменение данных и скомпрометировать целевую систему.

1. Уязвимость существует из-за использования уязвимой версии MySQL. Подробное описание уязвимости:
http://www.securitylab.ru/vulnerability/205267.php #2

Уязвимость распространяется на версии 3.x и 4.00.

2. Уязвимость существует из-за ошибки в сервлете Agent. Удаленный пользователь может с помощью специально сформированного HEAD HTTP запроса внедрить и выполнить произвольные команды на системе с привилегиями SYSTEM. Уязвимость распространяется на версии 3.20 и 4.00.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "fileName" в сервлете UpdateCertificatesServlet. Удаленный пользователь может внедрить и выполнить произвольный JSP код на целевой системе.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметре "adCert" в сервлете UpdateDomainControllerServlet. Удаленный пользователь может внедрить и выполнить произвольный JSP код на целевой системе.

5. Уязвимость существует из-за ошибки в сервлетах EJBInvokerServlet и JMXInvokerServlet при обработке объектов. Удаленный пользователь может установить произвольное приложение на систему и выполнить произвольный код с привилегиями пользователя SYSTEM.

6. Уязвимость существует из-за недостаточной обработки входных данных в параметрах dir" и "sort" в сервлете GetEventsServlet. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения, а также выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

URL производителя: http://h17007.www1.hp.com/us/en/networking/products/network-management/HP_PCM_Plus_Network_Management_Software_Series

Решение: Установите исправление производителя.