Categories: SeguridadVirus

Ejecución de código arbitrario en HP OpenView Storage Data Protector

HP OpenView Storage Data Protector es un software utilizado principalmente en empresas para la creación y recuperación de copias de seguridad y respaldos. Consta de un servidor central y un agente de backup instalado en los sistemas que van a ser respaldados, y es en este último componente donde se da el problema.

El problema se debe a un fallo combinado de error del mecanismo de autenticación y no validación de los mensajes enviados a los agentes. A la hora de comunicarse con el servidor central de bakcup (Cell Backup), se utiliza un protocolo propietario. Si se manipulan convenientemente algunos campos de este protocolo, es posible enviar comandos arbitrarios a los agentes sin necesidad de autenticación. Los comandos serían ejecutados en los clientes con los privilegios del programa agente.

A no ser que el agente esté expuesto al exterior (situación poco probable), el problema sólo es aprovechable desde una red interna local.

El problema se ha confirmado en las versiones 5.1 y 5.5 de OpenView Storage Data Protector sobre HP-UX, IBM AIX, Linux, Microsoft Windows y Solaris.

Se recomienda aplicar los parches correspondientes según la matriz de actualizaciones publicada por el fabricante en esta dirección.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Los envíos de tabletas crecen por tercer trimestre consecutivo

Durante los meses de julio, agosto y septiembre se acumularon 37,4 millones de unidades en…

8 horas ago

Ni siquiera la mitad de las iniciativas digitales termina en éxito

El año que viene más del 80 % de los CIO de EMEA incrementará sus…

8 horas ago

La inteligencia artificial generará el 3,5 % del PIB mundial en 2030

IDC prevé "consecuencias económicas profundas", incluyendo la transformación de industrias y la creación de nuevos…

9 horas ago

Proton Drive añade un modo de sugerencias cifrado de extremo a extremo

Proton también introduce enlaces públicos y anuncia la función de "compartido conmigo" para la aplicación…

10 horas ago

Los hijos de un 41 % de los teletrabajadores españoles conocen la contraseña de acceso a sus dispositivos

Son minoría los padres que utilizan la autenticación multifactor y las redes privadas virtuales cuando…

10 horas ago

Infobip integra su plataforma con Oracle Fusion Cloud Responsys Campaign Management

El objetivo es enriquecer las experiencias conversacionales para potenciar la lealtad de los clientes.

11 horas ago