漏洞关键信息 漏洞编号 - ZDI-09-094 - ZDI-CAN-453 - CVE-2009-3845 CVSS评分 - 未提供具体分数 受影响厂商 - Hewlett-Packard 受影响产品 - OpenView Network Node Manager 漏洞详情 - 该漏洞允许远程攻击者在易受攻击的Hewlett-Packard Network Node Manager安装上执行任意代码。利用此漏洞不需要身份验证。 - 具体问题在于Network Node Manager(NNM)随附的Perl CGI可执行文件中,这些应用程序在向默认监听TCP端口3443的NNM HTTP服务器发出请求时,未能正确清理hostname HTTP变量。通过提供管道运算符,恶意攻击者可以在远程服务器上插入并执行任意命令。 趋势科技客户保护 - 趋势科技TippingPoint IPS客户通过Digital Vaccine保护过滤器ID['8253']受到此漏洞的保护。 - 有关TippingPoint IPS的更多产品信息,请访问: http://www.tippingpoint.com 额外细节 - Hewlett-Packard已发布更新以修复此漏洞。更多详情可参阅: http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectId=c01950877 披露时间线 - 2009-03-13 - 漏洞报告给供应商 - 2009-12-09 - 协调公开发布咨询 发现者 - 匿名