CVE-2002-0763
CVSS7.5
发布时间 :2002-08-12 00:00:00
修订时间 :2008-09-05 16:28:53
NMCOS    

[原文]Vulnerability in administration server for HP VirtualVault 4.5 on HP-UX 11.04 allows remote web servers or privileged external processes to bypass access restrictions and establish connections to the server.


[CNNVD]HP Virtualvault未授权管理接口可访问漏洞(CNNVD-200208-074)

        
        HP Virtualvault是一款Hewlett-Packard公司开发和维护的用于WEB和电子商务平台安全实现的系统。
        HP Virtualvault存在访问验证漏洞,可导致远程攻击者无需验证访问HP Virtualvault系统。
        在某些环境下,HP Virtualvault管理员服务器可以接收来自外部WEB服务器或者其他外部信任进程的连接。攻击者可以无需HP Virtualvault的授权访问系统。
        据报道只有运行HP-UX 11.04操作系统的HP9000 series 700/800机器才存在此漏洞。
        

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0763
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0763
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200208-074
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/4690
(VENDOR_ADVISORY)  BID  4690
http://www.iss.net/security_center/static/9038.php
(VENDOR_ADVISORY)  XF  hp-virtualvault-admin-access(9038)
http://archives.neohapsis.com/archives/hp/2002-q2/0037.html
(VENDOR_ADVISORY)  HP  HPSBUX0205-193

- 漏洞信息

HP Virtualvault未授权管理接口可访问漏洞
高危 访问验证错误
2002-08-12 00:00:00 2005-10-20 00:00:00
远程  
        
        HP Virtualvault是一款Hewlett-Packard公司开发和维护的用于WEB和电子商务平台安全实现的系统。
        HP Virtualvault存在访问验证漏洞,可导致远程攻击者无需验证访问HP Virtualvault系统。
        在某些环境下,HP Virtualvault管理员服务器可以接收来自外部WEB服务器或者其他外部信任进程的连接。攻击者可以无需HP Virtualvault的授权访问系统。
        据报道只有运行HP-UX 11.04操作系统的HP9000 series 700/800机器才存在此漏洞。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 对HP Virtualvault管理员服务器进行访问控制,只允许可信用户访问。
        厂商补丁:
        HP
        --
        HP已经为此发布了一个安全公告(HPSBUX0205-193)以及相应补丁:
        HPSBUX0205-193:Sec. Vulnerability in Virtualvault 4.5 IWS
        链接:
        补丁下载:
        HP VirtualVault 4.5:
        HP Patch PHSS_24038
        
        http://itrc.hp.com

- 漏洞信息

9630
HP-UX VirtualVault Connection Restriction Bypass

- 漏洞描述

Unknown or Incomplete

- 时间线

2002-05-07 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete

- 漏洞信息

HP Virtualvault Unauthorized Administrative Access Vulnerability
Access Validation Error 4690
Yes No
2002-05-08 12:00:00 2009-07-11 12:46:00
Published in Hewlett-Packard security bulletin HPSBUX0205-103.

- 受影响的程序版本

HP VirtualVault 4.5
- HP HP-UX 11.0 4

- 漏洞讨论

HP Virtualvault is a secure implementation package distributed by Hewlett-Packard for use as a web and e-commerece platform.

A vulnerability has been reported in the administration server included with Virtualvault. Outside machines may be able to access this server by acting as a web server or trusted process.

It has been reported that only HP9000 series 700/800 machines running HP-UX 11.04 suffer from this vulnerability.

- 漏洞利用

Currently the SecurityFocus staff are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com <mailto:vuldb@securityfocus.com>.

- 解决方案

A patch is available:


HP VirtualVault 4.5

- 相关参考

     

     

    关于SCAP中文社区

    SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

    版权声明

    CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站