HP Ignite-UX TFTP文件上传漏洞

漏洞信息详情

HP Ignite-UX TFTP文件上传漏洞

• CNNVD编号：CNNVD-200412-1214
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0952
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-03-04
  
• 厂        商：
  
  hp
• 漏洞来源：
  Martin O’Neal※ bug…

Ignite-UX产品是一套 HP-UX 管理工具集，可协助远程恢复、监控客户机安装等各种任务。
Ignite-UX的TFTP在处理文件路径时存在漏洞，远程攻击者可能利用此漏洞非法获得文件系统的访问。
在安装过程中Ignite-UX会安装并启用TFTP服务程序以便于匿名访问配置数据。在某些环境中，部分TFTP服务器树可能是完全可写的，这就允许攻击者从主机移动数据/工具，或通过写满本地文件系统导致主机拒绝服务。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 禁用TFTP服务程序。
厂商补丁：
HP
—
HP已经为此发布了一个安全公告(HPSBUX01219)以及相应补丁:

HPSBUX01219：SSRT4874 rev.0 – HP-UX Ignite-UX Remote Unauthorized Access

链接：http://www2.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=HPSBUX01219” target=”_blank”>
http://www2.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=HPSBUX01219

来源: XF
名称: hpigniteux-addnewclient-gain-access(21857)
链接:http://xforce.iss.net/xforce/xfdb/21857

来源: SECUNIA
名称: 16456
链接:http://secunia.com/advisories/16456/

来源: HP
名称: SSRT4874
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112422597529112&w=2

来源: OVAL
名称: oval:org.mitre.oval:def:5775
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5775

来源: BUGTRAQ
名称: 20050816 Corsaire Security Advisory: HP Ignite-UX filesystem permissions issue
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112420609211136&w=2

来源: SECTRACK
名称: 1014711
链接:http://securitytracker.com/id?1014711

来源：NSFOCUS
名称：7993
链接：http://www.nsfocus.net/vulndb/7993