HP Operations Agent mit Passwort-Lücke

HP Operations Agent ist eine Komponente von HP Openview, das in großen Unternehmen eingesetzt wird, um die IT-Infrastruktur zu verwalten. Die Software hat eine Sicherheitslücke, die sich Angreifer zunutze machen können, um per Internet auf das System zuzugreifen. Wie Secunia berichtet, liegt der Fehler in der Funktion, die den Benutzer "opc_op" anlegt, ohne ein Passwort zu vergeben. Diese Lücke lässt sich ausnutzen, um sich Systemrechte zu verschaffen. Das Sicherheitsproblem tritt in Openview Operations 8.x, Openview Operations DCE Agent 8.x sowie in Openview Operations HTTPS Agent 8.x auf. HP hat den Fehler erkannt und einen Sicherheitshinweis mit einem Workaround veröffentlicht, der die Lücke schließt.