CERTA-2012-AVI-022

Vulnerability from certfr_avis - Published: 2012-01-17 - Updated: 2012-01-17

Des vulnérabilités présentes dans le microgiciel (firmware) du HP StorageWorks Modular Smart Array P2000 G3 ont été corrigées. Ces vulnérabilités permettent à un utilisateur malintentionné de porter atteinte à la confidentialité des données et d'exécuter du code arbitraire à distance.

Description

Des vulnérabilités dans le microgiciel (firmware) du HP StorageWorks Modular Smart Array P2000 G3 permettent à un utilisateur malintentionné de porter atteinte à la confidentialité des données et d'exécuter du code arbitraire à distance :

  • certaines entrées de l'interface Web ne sont pas correctement validées et exposent la solution à des attaques de type traversée de répertoires (directory traversal) ;
  • un mot de passe par défaut peut-être utilisé pour exécuter des tâches avec les droits administrateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La version TS230P008 du microgiciel (firmware) corrige le problème.

HP StorageWorks Modular Smart Array P2000 G3 avec une version du microgiciel (firmware) antérieure à TS230P008.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eHP StorageWorks Modular Smart Array  P2000 G3 avec une version du microgiciel (\u003cSPAN class=\n  \"textit\"\u003efirmware\u003c/SPAN\u003e) ant\u00e9rieure \u00e0 TS230P008.\u003c/p\u003e",
  "content": "## Description\n\nDes vuln\u00e9rabilit\u00e9s dans le microgiciel (firmware) du HP StorageWorks\nModular Smart Array P2000 G3 permettent \u00e0 un utilisateur malintentionn\u00e9\nde porter atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et d\u0027ex\u00e9cuter du\ncode arbitraire \u00e0 distance :\n\n-   certaines entr\u00e9es de l\u0027interface Web ne sont pas correctement\n    valid\u00e9es et exposent la solution \u00e0 des attaques de type travers\u00e9e de\n    r\u00e9pertoires (directory traversal) ;\n-   un mot de passe par d\u00e9faut peut-\u00eatre utilis\u00e9 pour ex\u00e9cuter des\n    t\u00e2ches avec les droits administrateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation). La version TS230P008 du\nmicrogiciel (firmware) corrige le probl\u00e8me.\n",
  "cves": [
    {
      "name": "CVE-2011-4788",
      "url": "https://www.cve.org/CVERecord?id=CVE-2011-4788"
    }
  ],
  "initial_release_date": "2012-01-17T00:00:00",
  "last_revision_date": "2012-01-17T00:00:00",
  "links": [],
  "reference": "CERTA-2012-AVI-022",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2012-01-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Des vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans le microgiciel (\u003cspan\nclass=\"textit\"\u003efirmware\u003c/span\u003e) du HP StorageWorks Modular Smart Array\nP2000 G3 ont \u00e9t\u00e9 corrig\u00e9es. Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 un\nutilisateur malintentionn\u00e9 de porter atteinte \u00e0 la confidentialit\u00e9 des\ndonn\u00e9es et d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans HP StorageWorks Modular Smart Array P2000 G3",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 HP du 13 janvier 2012",
      "url": "http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03153338"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.