HP ChaiVM EZLoader任意JAR本地装载漏洞

发布日期：2002-07-27
更新日期：2002-07-31

受影响系统：

HP ChaiVM

描述：

---

BUGTRAQ ID: 5334
CVE(CAN) ID: CVE-2002-1796

HP ChaiVM是HP开发的一个专门为嵌入式设备优化的虚拟机，其中包含ChaiServer组件。

HP发布的新的增强装载器不能对新服务的签名进行充分验证，本地攻击者可以利用这个漏洞通过ChaiServer装载任意有问题的未授权服务。

HP ChaiVM中默认装载(this.loader)能够正确的验证服务的签名信息，但HP新发行的增强装载器(EZloader, this.ez)不能为新的服务正确的验证其签名。这可导致本地攻击者在HP ChaiVM中加载任意服务。

<*来源：kim0 （kim0@phenoelit.de）

链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0340.html
*>

建议：

---

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBUX0207-203）:
HPSBUX0207-203：Sec. Vulenrability in ChaiVM EZloader

HP建议用户采用下列措施消除此安全漏洞：

* 我们建议希望禁止未授权用户安装Chailet的用户设置EWS(嵌入式网络服务器)口令。

* 在防火墙后使用HP ChaiVM，且防火墙内均为受信系统。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有