发布日期：2008-04-11
更新日期：2008-04-14

受影响系统：

HP OpenView Network Node Manager <= 7.53

描述：

---

BUGTRAQ  ID: 28745
CVE(CAN) ID: CVE-2008-0068

HP OpenView网络节点管理器（OV NNM）是HP公司开发和维护的网络管理系统软件，具有强大的网络节点管理功能。

OV NNM的多个服务和组件中存在目录遍历和拒绝服务漏洞，允许远程攻击者通过提交恶意请求导致服务崩溃或下载任意文件。

---------------------------
A] CGI目录遍历
---------------------------

NNM中的CGI使用一些指令过滤掉客户端传送参数中的恶意字符，但这些CGI所过滤掉的路径分隔符为反斜线，因此攻击者可以使用斜线执行目录遍历攻击，从磁盘上下载文件。

----------------------------------
B] ovalarmsrv拒绝服务
----------------------------------

如果向监听于2954端口的ovalarmsrv服务发送了不完整的多行请求的话，就会耗尽100%的CPU资源，无法再处理2953和2954端口上的资源。

25、45、46、47和81请求的最后数字参数用于指定每行中将要发送多少子参数。ovalarmsrv会启动一个循环，在接受到所有子参数后终止这个循环，如果关闭连接或不发送全部或部分上述参数就会导致整个服务僵死。以下为所有支持的请求及其sscanf格式：

  REQUEST_CONTRIB_EVENTS  (22): "%d %d %s"
  REQUEST_PRINT           (25): "%d %d %d %d %s"
  REQUEST_DETAILS         (33): "%d %d %s"
  REQUEST_EVENT_DELETE    (35): "%d %d %s"
  REQUEST_EVENT_ACK       (36): "%d %d %s"
  REQUEST_RUN_ACTION      (37): "%d %d %s %s"
  REQUEST_SPECDATA        (41):
  REQUEST_EVENT_UNACK     (44): "%d %d %s"
  REQUEST_SAVE            (45): "%d %d %d %d %s"
  REQUEST_CAT_CHANGE      (46): "%d %d %d %[^\n]"
  REQUEST_SEV_CHANGE      (47): "%d %d %d %[^\n]"
  REQUEST_CONF_ACTIONS    (48): "%d %d\n"
  REQUEST_RESTORE_STATE   (62): "%d %[^\n]"
  REQUEST_SAVE_DIR        (63):
  REQUEST_LOCALE          (66): "%d"
  REQUEST_FORMAT_PRINT    (81): "%d %d %d %d %s"
  REQUEST_CONF_RUN_ACTION (??): "%d %d %d %[^\n]"

-----------------------------
C] ovalarmsrv空指针引用
-----------------------------

上文所述的用于指定子参数数量的参数也用于分配一定数量的初始动态内存（参数值 * 2）以存储所有的子参数，如果指定了过大的无法分配的子参数数量就会触发空指针引用，导致服务崩溃。

---------------------------------
D] ovtopmd进程终止
---------------------------------

监听在2532端口上的ovtopmd服务使用特定类型的报文（0x36）来强制终止进程（Exiting due to request of ovtopmd -k.），因此攻击者可以使用这种报文导致拒绝服务。

<*来源：Luigi Auriemma （aluigi@pivx.com）
  
  链接：http://marc.info/?l=bugtraq&m=120794170327163&w=2
        http://secunia.com/advisories/29796/
        http://secunia.com/secunia_research/2008-4/advisory/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://SERVER/OvCgi/OpenView5.exe?Target=Main&Action=../../../../../../windows/win.ini

http://aluigi.altervista.org/poc/closedview.zip

建议：

---

厂商补丁：

HP
--
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://itrc.hp.com

浏览次数：2763
严重程度：0（网友投票）