7.5.4.3 より前の HP System Management Homepage における AddCertsToTrustCfgList DoS
low Nessus プラグイン ID 91260
Language:
概要
リモート Web サーバーで実行されているアプリケーションは、サービス拒否の脆弱性の影響を受けます。説明
リモート Web サーバーでホストされている HP System Management Homepage (SMH) のバージョンは、7.5.4.3 より前のものです。このため、X.509 証明書の処理時にサブジェクトのコモンネームを不適切に抽出することによる、mod_smh_config.so ファイルの AddCertsToTrustCfgList() 関数にある欠陥の影響を受けます。認証されていないリモートの攻撃者が、細工された証明書を通じて、この問題を悪用し、サービス拒否状態を引き起こす可能性があります。注意 : この脆弱性を悪用するには、「トラストモード」設定を「すべてをトラスト」に設定し「IP 制限ログイン」設定を攻撃者が SMH にアクセスできるように設定し、「Kerberos 許可(Windows のみ)」設定を無効にする必要があります。ソリューション
HP System Management Homepage (SMH) バージョン 7.5.4.3 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Low
ID: 91260
ファイル名: hpsmh_7_5_4_3.nasl
バージョン: 1.6
タイプ: remote
ファミリー: Web Servers
公開日: 2016/5/19
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 1.9
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: cpe:/a:hp:system_management_homepage
必要な KB アイテム: Settings/ParanoidReport, www/hp_smh
パッチ公開日: 2016/4/1
脆弱性公開日: 2016/5/5
参照情報
TRA: TRA-2016-14