首页 -> 安全研究
安全研究
安全漏洞
HP OpenView网络节点管理器OvJavaLocale Cookie数据远程溢出漏洞
发布日期:2010-08-04
更新日期:2010-08-04
受影响系统:
HP OpenView Network Node Manager 7.53描述:
HP OpenView Network Node Manager 7.51
BUGTRAQ ID: 42154
CVE ID: CVE-2010-2709
HP OpenView网络节点管理器(OV NNM)是HP公司开发和维护的网络管理系统软件,具有强大的网络节点管理功能。
HP NNM所捆绑的webappmon.exe CGI脚本通过HTTP POST和GET请求获取参数。如果用户所提交的GET查询请求中包含有以下HTTP头:
/-----
'Cookie: OvJavaLocale=%s.Cp1252;' % ("A" * 10000)
- -----/
在解析这个头时会调用ovwww.dll的OvWwwDebug函数:
/-----
5A307477 OvWwwDebug 55 PUSH EBP
5A307478 8BEC MOV EBP,ESP
5A30747A B8 20140000 MOV EAX,1420
5A30747F E8 CC850000 CALL ovwww.5A30FA50
5A307484 33C0 XOR EAX,EAX
5A307486 A0 543F325A MOV AL,BYTE PTR DS:[5A323F54]
5A30748B 83E0 01 AND EAX,1
5A30748E 85C0 TEST EAX,EAX
5A307490 75 22 JNZ SHORT ovwww.5A3074B4
[...]
- -----/
这个函数调用ov.dll的sprintf_new()封装程序:
/-----
5A307521 8B8D E8EBFFFF MOV ECX,DWORD PTR SS:[EBP-1418]
5A307527 51 PUSH ECX
5A307528 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8]
5A30752B 52 PUSH EDX
5A30752C 8D85 00ECFFFF LEA EAX,DWORD PTR SS:[EBP-1400]
5A307532 50 PUSH EAX
5A307533 FF15 9001315A CALL DWORD PTR DS:[<&ov.sprintf_new>] ; ov.sprintf_new
- -----/
该封装程序用未经正确过滤的参数调用了sprintf():
5A028409 sprintf_new /$ 55 PUSH EBP
5A02840A |. 8BEC MOV EBP,ESP
5A02840C |. B8 10000100 MOV EAX,10010 ; UNICODE "PROFILE=C:\Documents and Settings\All Users"
5A028411 |. E8 3A650000 CALL ov.5A02E950
[...]
5A02854E |. 51 PUSH ECX ; /<%s>
5A02854F |. 68 6441045A PUSH ov.5A044164 ; |format = "%s"
5A028554 |. 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] ; |
5A028557 |. 52 PUSH EDX ; |s
5A028558 |. FF15 C002035A CALL DWORD PTR DS:[<&MSVCRT.sprintf>] ; \sprintf
[...]
format等于HTTP_COOKIE=%s,这会触发缓冲区溢出,覆盖栈上的函数返回地址和异常处理器。
<*来源:Nahuel Riva
链接:http://marc.info/?l=full-disclosure&m=128086495512701&w=2
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02446520
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBMA02563)以及相应补丁:
HPSBMA02563:SSRT100165 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02446520
浏览次数:2213
严重程度:0(网友投票)
绿盟科技给您安全的保障