HP Mercury Quality Center ActiveX控件溢出漏洞

上一篇 / 下一篇  2008-09-18 10:15:16 / 个人分类:QC

受影响系统:
HP Mercury Quality Center 9.0
HP Mercury Quality Center 8.2

不受影响系统:
HP Mercury Quality Center 9.0 (Patch 12.1)
HP Mercury Quality Center 8.2 Sp1 (Patch 32)

描述:
HP Mercury Quality Center是基于web界面的自动化软件测试工具。

HP Mercury Quality Center的ActiveX控制处理畸形参数数据时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。

Mercury Quality Center所安装的以下ActiveX控件:

    Progid: SPIDERLib.Loader
    Clsid: 98C53984-8BF8-4D11-9B1C-C324FCA9CADE
    File: C:\WINDOWS\Downloaded Program Files\Spider90.ocx

在处理超长的ProgColor属性时存在栈溢出漏洞,允许攻击者远程执行任意指令。

临时解决方法:
为上述控件设置kill-bit以防在IE中加载。

厂商补丁:
HP已经为此发布了一个安全公告(HPSBGN02199)以及相应补丁:
HPSBGN02199:SSRT071312 rev.1 - Mercury Quality Center ActiveX, Remote Unauthorized Arbitrary Code Execution
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?print=true&objectID=c00901872&printver

补丁下载:
http://webnotes.merc-int.com/patches.nsf/c4d68388a23535dc422567d0004bbae2/7a0f7f0efc7905fdc225729f004cf387?OpenDocument
http://webnotes.merc-int.com/patches.nsf/c4d68388a23535dc422567d0004bbae2/cf109e434c7765eac22572a4006c6e94?OpenDocument

来自:来源:绿盟科技


TAG: HP Mercury Quality Center ActiveX控件溢出漏洞 QC

hucm2008的个人空间 引用 删除 hucm2008   /   2008-10-15 15:41:55
你能把qq号告诉我吗?
我的qq是695046397写上附加消息我加你为好友
 

评分:0

我来说两句

日历

« 2022-01-22  
      1
2345678
9101112131415
16171819202122
23242526272829
3031     

数据统计

  • 访问量: 26543
  • 日志数: 32
  • 建立时间: 2008-05-16
  • 更新时间: 2009-03-18

RSS订阅

Open Toolbar