HP Operations for UNIX跨站脚本和安全绕过漏洞

linwenwa

Bugtraq ID:

CVE ID：CVE-2011-0893
CVE-2011-0894
CNCVE ID：CNCVE-20110893
CNCVE-20110894

漏洞发布时间:2011-04-01
漏洞更新时间:2011-04-01

漏洞起因
设计错误
危险等级
低

影响系统
XML Security Library 1.x

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息或绕过验证访问受限资源。

攻击所需条件
攻击者必须访问HP Operations。

漏洞信息
HP Operations是一款分布式客户机/服务器软件产品，用于管理分布式环境。
Unix平台下的HP Operations存在安全漏洞，允许恶意用户进行跨站脚本攻击和绕过部分安全功能。
-部分输入在返回用户之前缺少过滤，攻击者可以利用漏洞进行跨站脚本攻击，可获得敏感信息或劫持目标用户会话。
-存在一个未明错误，允许攻击者对某些资源获得未授权访问，目前没有详细的漏洞细节提供。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://www11.itrc.hp.com/service ... Id=emr_na-c02770049

漏洞提供者
HP
  

漏洞消息链接
http://secunia.com/advisories/43985/

漏洞消息标题
HP Operations for UNIX Cross-Site Scripting and Security Bypass