В UCMDB от HP обнаружена уязвимость раскрытия информации

Разработчики компании опубликовали инструкции для смены конфигурации UCMDB.

В UCMDB (Universal Configuration Management Database) от HP была обнаружена уязвимость, позволяющая удаленно получить доступ к конфиденциальной информации. Выявить брешь удалось Гансу-Мартину Мюнху (Hans-Martin Münch) из немецкой компании Mogwai Security.

По данным разработчиков HP, уязвимость (CVE-2014-7883) затрагивает версии v9.05, v10.01 и v10.11. Исправления безопасности для не пока нет, однако компания опубликовала инструкции по смене конфигурации, что позволяет предотвратить эксплуатацию бреши.

Вместе с тем, в Mogwai Security подчеркивают , что недостаток существует из-за ошибки во одном из встроенных компонентов. Путем ее эксплуатации атакующий может обойти процесс аутентификации в web-приложении JMX-Console, которое осуществляет управление доступом для методов POST и GET.

UCMDB используется многими IT-компаниями для управления такими задачами, как управление активами, бизнес-услугами и т.п.