受影响系统:
HP System Management Homepage 2.x
描述:
HP系统管理主页(SMH)是一个基于Web的界面,整合并简化了Windows、Lunux和HP-UX操作系统上对HP服务器的单系统管理过程。
HP SMH没有正确地过滤提交给red3201.htm页面的RedirectUrl请求参数,远程攻击者可以通过提交恶意URI请求将用户重新定向到恶意网站,从而完全入侵用户系统。
<*来源:Aung Khant
链接:http://marc.info/?l=full-disclosure&m=127217787008123&w=2
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
evil@attacker.com" target="_blank">http://x.x.x.x:2301/red2301.html?RedirectUrl=evil@attacker.com
建议:
临时解决方法:
* 删除hpsmh\data\htdocs\目录下的red3201.html页面。
* 过滤RedirectUrl变量。
厂商补丁:
HP
—
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。