HP ChaiVM EZLoader任意JAR本地装载漏洞

漏洞信息详情

HP ChaiVM EZLoader任意JAR本地装载漏洞

• CNNVD编号：CNNVD-200212-174
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1796
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-07-27
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  hp
• 漏洞来源：
  kim0 kim0@phenoeli…

HP ChaiVM是HP开发的一个专门为嵌入式设备优化的虚拟机，其中包含ChaiServer组件。
HP发布的新的增强装载器不能对新服务的签名进行充分验证，本地攻击者可以利用这个漏洞通过ChaiServer装载任意有问题的未授权服务。
HP ChaiVM中默认装载(this.loader)能够正确的验证服务的签名信息，但HP新发行的增强装载器(EZloader， this.ez)不能为新的服务正确的验证其签名。这可导致本地攻击者在HP ChaiVM中加载任意服务。

厂商补丁：
HP
—
HP已经为此发布了一个安全公告(HPSBUX0207-203):

HPSBUX0207-203：Sec. Vulenrability in ChaiVM EZloader

HP建议用户采用下列措施消除此安全漏洞：

* 我们建议希望禁止未授权用户安装Chailet的用户设置EWS(嵌入式网络服务器)口令。

* 在防火墙后使用HP ChaiVM，且防火墙内均为受信系统。

来源: HP
名称: HPSBUX0207-203
链接:http://online.securityfocus.com/advisories/4317

来源: BID
名称: 5334
链接:http://www.securityfocus.com/bid/5334

来源: www.phenoelit.de
链接:http://www.phenoelit.de/stuff/HP_Chai.txt

来源: XF
名称: hp-chaivm-add-services(9695)
链接:http://www.iss.net/security_center/static/9695.php

来源：NSFOCUS
名称：3174
链接：http://www.nsfocus.net/vulndb/3174