Vigil@nce - HP LoadRunner : buffer overflow via Virtual User
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un fichier Virtual User illicite, afin de
provoquer un buffer overflow dans HP LoadRunner, pour faire
exécuter du code.
Gravité : 2/4
Date création : 07/06/2011
PRODUITS CONCERNÉS
– HP LoadRunner
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit HP LoadRunner simule des utilisateurs (Virtual User)
afin de tester une application en charge.
Les Virtual User sont définis dans un fichier portant l’extension
".usr". L’application Vuser User Generator (VuGen.exe) est appelée
pour ouvrir les fichiers ".usr". Cependant, lorsque les directives
du fichier ".usr" sont trop longues, un buffer overflow se produit
dans VuGen.exe.
Un attaquant peut donc créer un fichier Virtual User illicite,
afin de provoquer un buffer overflow dans HP LoadRunner, pour
faire exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/HP-LoadRunner-buffer-overflow-via-Virtual-User-10721