发布日期：2010-08-04
更新日期：2010-08-04

受影响系统：

HP OpenView Network Node Manager 7.53
HP OpenView Network Node Manager 7.51

描述：

---

BUGTRAQ  ID: 42154
CVE ID: CVE-2010-2709

HP OpenView网络节点管理器（OV NNM）是HP公司开发和维护的网络管理系统软件，具有强大的网络节点管理功能。

HP NNM所捆绑的webappmon.exe CGI脚本通过HTTP POST和GET请求获取参数。如果用户所提交的GET查询请求中包含有以下HTTP头：

/-----
'Cookie: OvJavaLocale=%s.Cp1252;' % ("A" * 10000)
- -----/

在解析这个头时会调用ovwww.dll的OvWwwDebug函数：

/-----
5A307477 OvWwwDebug       55              PUSH EBP
5A307478                  8BEC            MOV EBP,ESP
5A30747A                  B8 20140000     MOV EAX,1420
5A30747F                  E8 CC850000     CALL ovwww.5A30FA50
5A307484                  33C0            XOR EAX,EAX
5A307486                  A0 543F325A     MOV AL,BYTE PTR DS:[5A323F54]
5A30748B                  83E0 01         AND EAX,1
5A30748E                  85C0            TEST EAX,EAX
5A307490                  75 22           JNZ SHORT ovwww.5A3074B4
[...]
- -----/

这个函数调用ov.dll的sprintf_new()封装程序：

/-----
5A307521                  8B8D E8EBFFFF   MOV ECX,DWORD PTR SS:[EBP-1418]
5A307527                  51              PUSH ECX
5A307528                  8B55 08         MOV EDX,DWORD PTR SS:[EBP+8]
5A30752B                  52              PUSH EDX
5A30752C                  8D85 00ECFFFF   LEA EAX,DWORD PTR SS:[EBP-1400]
5A307532                  50              PUSH EAX
5A307533                  FF15 9001315A   CALL DWORD PTR DS:[<&ov.sprintf_new>]    ;                 ov.sprintf_new
- -----/

该封装程序用未经正确过滤的参数调用了sprintf()：

5A028409 sprintf_new    /$  55            PUSH EBP
5A02840A                |.  8BEC          MOV EBP,ESP
5A02840C                |.  B8 10000100   MOV EAX,10010                            ;  UNICODE "PROFILE=C:\Documents and Settings\All Users"
5A028411                |.  E8 3A650000   CALL ov.5A02E950
[...]
5A02854E                |.  51            PUSH ECX                                 ; /<%s>
5A02854F                |.  68 6441045A   PUSH ov.5A044164                         ; |format = "%s"
5A028554                |.  8B55 08       MOV EDX,DWORD PTR SS:[EBP+8]             ; |
5A028557                |.  52            PUSH EDX                                 ; |s
5A028558                |.  FF15 C002035A CALL DWORD PTR DS:[<&MSVCRT.sprintf>]    ; \sprintf
[...]

format等于HTTP_COOKIE=%s，这会触发缓冲区溢出，覆盖栈上的函数返回地址和异常处理器。

<*来源：Nahuel Riva
  
  链接：http://marc.info/?l=full-disclosure&m=128086495512701&w=2
        http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02446520
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.coresecurity.com/content/hp-nnm-ovjavalocale-buffer-overflow

建议：

---

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBMA02563）以及相应补丁:
HPSBMA02563：SSRT100165 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
链接：http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02446520

浏览次数：2213
严重程度：0（网友投票）