发布日期：2009-11-04
更新日期：2009-11-06

受影响系统：

HP Power Manager

描述：

---

BUGTRAQ  ID: 36933
CVE ID: CVE-2009-2685

HP Power Manager是基于Web的应用，允许管理员通过基于浏览器的控制台管理HP UPS。

HP Power Manager内嵌的管理Web Server没有正确地处理用户所提交登录表单中的URL参数，远程攻击者可以在登录请求中设置超长的Login参数触发栈溢出，导致执行任意代码。

<*来源：Janek Vind （come2waraxe@yahoo.com）
  
  链接：http://secunia.com/advisories/37276/
        http://marc.info/?l=bugtraq&m=125745390425391&w=2
        http://alerts.hp.com/r?2.1.3KT.2ZR.zWmfi.DqWvJq..T.KlUg.2Kra.bW89MQ%5f%5fDXdKFWL0
*>

建议：

---

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBMA02474）以及相应补丁:
HPSBMA02474：SSRT090107 rev.1 - HP Power Manager, Remote Execution of Arbitrary Code
链接：http://alerts.hp.com/r?2.1.3KT.2ZR.zWmfi.DqWvJq..T.KlUg.2Kra.bW89MQ%5f%5fDXdKFWL0

浏览次数：3827
严重程度：0（网友投票）