发布日期：2007-10-23

更新日期：2007-11-02

受影响系统：

HP OpenView Client Configuration Manager 2.0

HP CM infrastructure (Radia) v4.2i

HP CM infrastructure (Radia) v4.2

HP CM infrastructure (Radia) v4.1

HP CM infrastructure (Radia) v4.0

描述：

CVE(CAN) ID: CVE-2007-5413

HP OpenView是惠普公司开发的系列网络管理软件。

OpenView产品系列中的配置管理（CM）基础架构（Radia）和客户端配置管理器（CCM）所使用的httpd.tkd模块在处理HTTP请求时存在漏洞，远程攻击者可能利用此漏洞操控系统上的任意文件。

如果远程攻击者向HTTP服务器的默认TCP 3465端口提交了包含有~root之类路径的特制URL的话，就可以访问基础操作系统上的任意文件。

HP已经为此发布了一个安全公告（HPSBMA02279）以及相应补丁:

HPSBMA02279：SSRT071298 rev.1 - HP OpenView Configuration Management (CM) Infrastructure (Radia) and Client Configuration Manager (CCM) Running httpd.tkd, Remote Unauthorized Access to Data

链接：http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01205079&printver=true