Bei der Schwachstelle in HP Openview Storage Data Protector handelt es sich um einen schwerwiegenden Softwarefehler, da ein Angreifer sich nicht am System authentifizieren muss, um schädlichen Code einzuschleusen.
Wie die Zero Day Initiative
meldet, liegt das Problem im crs.exe-Prozess, der nicht korrekt mit den Nachrichten umgeht, die er erhält und Eingaben, die von außen kommen, direkt in einen festgelegten Speicherbereich schreibt. Erlangt ein Angreifer Zugriff, kann er seinen gefährlichen Code - etwa einen Wurm oder Trojaner - mit Systemrechten ausführen. HP rät seinen Kunden demnach, ihre Software so schnell wie möglich zu aktualisieren. Die Lücke betrifft Version 6.x des Openview Storage Data Protector für Windows, Linux, HP-UX und Solaris. Das Unternehmen hat für die jeweiligen Versionen Patche bereitgestellt. Eine Liste der Aktualisierungen findet sich im
Sicherheitshinweis des Unternehmens.
HP hat überdies Sicherheitslücken in HP Business Service Management, Business Availability Center sowie in Kerberos für HP-UX geschlossen. Die Fachleute von
Secunia stufen sie hingegen als weniger schwerwiegend ein.