HPのサーバソフトに脆弱性

[IDG Japan]

　Hewlett-Packard（HP）のTru64 AlphaServerとともに提供されているインターネット／管理ソフト「Internet Express」と認証システムの「OpenView」に脆弱性が見つかった。

　Internet Expressの一部を構成するWashington University FTP daemon（WU-FTPD）には深刻な脆弱性が多数発見されている。このうち最も深刻な脆弱性は、Internet Express 6.2の一部として提供されている同ソフトのバージョン2.6.2までに影響。S/KEYのプロセス処理における境界エラーによって引き起こされ、長文のユーザー情報を入力することでバッファオーバーフローを誘発、不正プログラムを実行される恐れがある

　この脆弱性の影響を受ける顧客の数について、HPからの回答は得られていないが、同社はパッチをリリース済み。

　また、HPはOpenView Operationsに「ある程度深刻」な脆弱性があることも認めている。これは同システムの認証機能に存在し、HP-UXおよびSolaris版のOpenView 7.xと、この両OS用のOpenView VantagePoint 6.xが影響を受ける。この脆弱性が原因で、認証プロセスが回避される可能性があり、認証チェックを受けないまま通過されてしまう恐れがある。