Foro de elhacker.net

HP ha publicado actualizaciones para corregir once problemas de seguridad en HP Network Node Manager i (NNMi) versiones 8.x, 9.0x y 9.1x (para HP-UX, Linux, Solaris y Windows con PostgreSQL). Todos los problemas están relacionados con la base de datos PostgreSQL y podrían permitir a un atacante remoto ejecutar código arbitrario o ataques de denegación de servicio.

HP Network Node Manager i (NNMi) es un conjunto de herramientas para la administración de redes, permite la supervisión de la red en tiempo real y la gestión de incidentes de red. El software incluye propiedades destinadas a identificar la raíz de los problemas de rendimiento utilizando una combinación de procesos de descubrimiento continuo, correlación de eventos y automatización.

Las vulnerabilidades están identificadas con los CVE: CVE-2009-0922 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0922),CVE-2009-3229 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3229),CVE-2009-3230 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3230),CVE-2009-3231 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3231),CVE-2009-4034 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4034),CVE-2009-4136 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4136),CVE-2010-1169 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1169),CVE-2010-1170 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1170),CVE-2010-1975 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1975),CVE-2010-3433 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3433)y CVE-2010-4015 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4015). Los problemas se deben a diversos fallos en componentes de la base de datos PostgreSQL dado que el software utiliza este sistema para el almacenamiento de información. Lo más destacable de todo es que estos problemas están confirmados y documentados desde hace más de dos años (en algunos casos hasta tres años). Realmente constituyen actualizaciones de la base de datos ya publicados desde hace años (http://unaaldia.hispasec.com/2009/03/denegacion-de-servicio-en-postgresql.html) (incluso a través de este boletín (http://unaaldia.hispasec.com/2010/05/se-han-anunciado-diversos-problemas-en.html)).

Un atacante remoto podría aprovechar estas vulnerabilidades para realizar ataques de denegación de servicio yejecutar código arbitrario en los sistemas afectados.

HP ha publicado las siguientes actualizacionespara las versiones 9.0x y 9.1x: ParaHP Network Node Manager i 9.0x: Hotfix-NNMi-9.0xP5-Postgres-20120514 Para HP Network Node Manager i 9.1x: Hotfix-NNMi-9.1xP3-Postgres-20120510 Los usuarios de HP Network Node Manager i 8.x deben actualizar a las versiones 9.xx. Se recomienda emplear HP-UX Software Assistant para la descarga y despliegue de las actualizaciones.

Más información:

HPSBMU02781 SSRT100617 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running PostgreSQL, Remote Execution of Arbitrary Code, Denial of Service (DoS) https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03333585 (https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03333585)

una-al-dia (23/03/2009) Denegación de servicio en PostgreSQLhttp://unaaldia.hispasec.com/2009/03/denegacion-de-servicio-en-postgresql.html (http://unaaldia.hispasec.com/2009/03/denegacion-de-servicio-en-postgresql.html)

una-al-dia (16/05/2010) Vulnerabilidades de ejecución de código en PostgreSQL http://unaaldia.hispasec.com/2010/05/se-han-anunciado-diversos-problemas-en.html (http://unaaldia.hispasec.com/2010/05/se-han-anunciado-diversos-problemas-en.html)

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/hp-corrige-vulnerabilidades-de-hace-mas-de-dos-anos-en-postgresql-de-network-node-manager-i