惠普自曝網管產品漏洞 用戶可能受遠程攻擊

    惠普公司警告稱，其一款重要的網絡管理產品中存在一處嚴重的缺陷，用戶可能會受到遠程攻擊。 

　　缺陷出在“網絡節點管理器”中━━這是一款利用“簡單網絡管理協議”(SNMP)能夠自動發現、控制、監管網絡設備的OpenView產品。盡管還沒有發布補丁軟件，但惠普公司已經發布了臨時性的解決方案。 

　　據惠普公司稱，在作為命令行參數使用前，名為connectedNodes.ovpl的腳本文件沒有正確地檢查“node”參數中的輸入值。這意味著，通過一個經過特別設計的輸入值，遠程黑客能夠在運行“網絡節點管理器”的系統上執行惡意的命令。惠普公司在其公告中表示，這一缺陷可以被遠程的非授權用戶用來獲得高級別訪問權限。 

　　法國安全緊急事故響應小組(FrSIRT)表示，這一問題也存在于其它腳本文件中━━cdpView.ovpl、freeIPaddrs.ovpl、ecscmg.ovpl。該缺陷影響在HP-UX、Solaris、Windows NT、Windows 2000、Windows XP、Linux上運行的6.2、6.4、7.01、7.50版本的“網絡節點管理器”。據FrSIRT稱，這一缺陷的危險等級是“高度危險”。 

　　惠普公司表示，盡管目前還沒有開發出補丁軟件，但用戶可以通過將受影響的腳本文件移動到其它目錄中規避可能的危險。 

　　1月份，惠普公司曾警告稱，盡管業界在不斷努力，但企業IT架構還遠說不上安全。惠普公司服務部門的技術總監托尼在當時說，過去的基礎設施對于目前的開放世界一點兒都不設防。我們需要硬件、操作系統、應用軟件都保持安全，聯合起來向我們提供真正的可信賴計算。