Служба поддержки клиентов HP - База знаний

hp-contact-secondary-navigation-portlet

Действия
Загрузка...

SUPPORT COMMUNICATION- БЮЛЛЕТЕНЬ БЕЗОПАСНОСТИ

Номер документа: c04633212

Версия: 1

HPSBHF03279 испр. 2 - Кассовые терминалы HP под управлением Windows c драйверами OPOS, удаленный запуск кода

Notice:: The information in this security bulletin should be acted upon as soon as possible.

Дата выпуска : 08-Apr-2015

Последнее обновление : 13-Apr-2015

Potential Security Impact:
Удаленный запуск кода

РЕЗЮМЕ УЯЗВИМОСТЕЙ
Были обнаружены потенциальные уязвимости некоторых кассовых терминалов HP, работающих под управлением Windows и оснащенных драйверами OLE Point of Sale (OPOS). Эти уязвимости могут быть использовано удаленно для запуска кода.
Номер
  • CVE-2014-7888 (ZDI-CAN-2512, SSRT101696)
  • CVE-2014-7889 (ZDI-CAN-2511, SSRT101695)
  • CVE-2014-7890 (ZDI-CAN-2510, SSRT101694)
  • CVE-2014-7891 (ZDI-CAN-2509, SSRT101693)
  • CVE-2014-7892 (ZDI-CAN-2508, SSRT101692)
  • CVE-2014-7893 (ZDI-CAN-2507, SSRT101691)
  • CVE-2014-7894 (ZDI-CAN-2506, SSRT101690)
  • CVE-2014-7895 (ZDI-CAN-2505, SSRT101689)
  • CVE-2014-7897 (SSRT101689)
  • CVE-2014-7898 (SSRT101689)
ВЕРСИИ ПОДДЕРЖИВАЕМОГО ПО*: Перечислены ТОЛЬКО затронутые версии.
Кассовые терминалы HP, работающие под управлением Windows, с драйверами OLE Point of Sale (OPOS) версий ранее 1.13.003.
ДАННЫЕ
Базовые метрики CVSS 2.0
Справочная информация
Базовый вектор
Базовая оценка
CVE-2014-7888
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7889
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7890
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7891
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7892
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7893
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7894
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7895
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7897
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
CVE-2014-7898
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6.8
Сведения о CVSS документированы в "Уведомлении для клиента" HP: HPSN-2008-002
РЕШЕНИЕ
Уязвимости кассовых терминалов HP, работающих под управлением Windows, с драйверами OPOS устраняются путем установки пакета softpaq SP70564, содержащего CCO 1.13.003 OPOS. Пакет содержит обновленные объекты общего управления (CCO) для всех затрагиваемых устройств, приведенных в следующей таблице.
Загрузите SP70564 с сайта поддержки и драйверов для затрагиваемого устройства.
Перейдите на сайт http://www.hp.com:
  1. Выберите "Поддержка", затем "Загрузить драйверы"
  2. Введите название системы кассового терминала, например название устройства "Кассовый аппарат HP rp5800 Retail System", затем щелкните "Перейти".
  3. Выберите подходящую ОС, щелкнув перед этим ссылку на нужное устройство.
  4. Последние версии драйверов будут содержаться в разделе "Программное обеспечение – Кассовые терминалы".
  5. Загрузите пакет Softpaq "Объекты общего управления OPOS" 1.13.003.
Описание устройства HP
Номер устройства
Номер CVE, затрагиваемый драйвер
Мониторы
Дисплей для клиентов VFD для системы для розничной торговли HP RP7
QZ701AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Встроенный дисплей HP Retail 2x20
G6U79AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Встроенный комплекс HP Retail 2x20
G7G29AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Принтеры
Чековый термопринтер HP PUSB, все регионы
FK224AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Чековый термопринтер HP SerialUSB
BM476AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Гибридный принтер HP POS с MICR, США
FK184AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Принтер для чеков HP Value PUSB
F7M67AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Принтер для печати чеков HP Serial/USB, все регионы
F7M66AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Кассовые ящики
Стандартный кассовый ящик HP USB
E8E45AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
Мини-считыватели карт
Мини-считыватель магнитных карт HP
FK186AA / AT
CVE-2014-7892
OPOSMSR.ocx
Встроенный мини-считыватель карт HP Retail Dual-Head MSR
QZ673AA / AT
CVE-2014-7892
OPOSMSR.ocx
Встроенный одноголовочный считыватель карт HP Integrated Single Head MSR без SRED
J1A33AA / AT
CVE-2014-7892
OPOSMSR.ocx
Встроенный одноголовочный считыватель карт HP Integrated Single Head без MSR SRED
J1A34AA / AT
CVE-2014-7892
OPOSMSR.ocx
Одноголовочный считыватель карт HP RP7 Single Head MSR без SRED
K1K15AA/AT
CVE-2014-7892
OPOSMSR.ocx
Клавиатуры
Клавиатура HP POS
FK221AA / AT
CVE-2014-7891
OPOSPOSKeyboard.ocx
CVE-2014-7892
OPOSMSR.ocx
CVE-2014-7890
OPOSToneIndicator.ocx
Клавиатура HP POS со считывателем магнитных карт
FK218AA / AT
CVE-2014-7891
OPOSPOSKeyboard.ocx
CVE-2014-7892
OPOSMSR.ocx
CVE-2014-7890
OPOSToneIndicator.ocx
Дисплеи на стойке
Дисплеи на стойке для кассовых терминалов
FK225AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Графический дисплей на стойке HP POS
QZ704AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Дисплей на стойке HP LCD
F7A93AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Сканеры
Сканер штрих-кода HP Imaging
BW868AA / AT
CVE-2014-7897
OPOSScanner.ocx
Сканер линейных штрих-кодов HP
QY405AA / AT
CVE-2014-7897
OPOSScanner.ocx
Сканер штрих-кода HP Presentation
QY439AA / AT
CVE-2014-7897
OPOSScanner.ocx
Встроенный сканер штрих-кодов HP Retail
E1L07AA / AT
CVE-2014-7897
OPOSScanner.ocx
Беспроводной сканер штрих-кодов HP
E6P34AA / AT
CVE-2014-7897
OPOSScanner.ocx
Беспроводной сканер HP 2D Value
K3L28AA
CVE-2014-7897
OPOSScanner.ocx
ИСТОРИЯ ИЗМЕНЕНИЙ
Версия:1 (исправление 1) – 4 марта 2015 г. Исходный выпуск
Версия:2 (исправление 2) – 20 марта 2015 Исправлены и уточнены инструкции по загрузке
Исправления безопасности от сторонних производителей: Исправления безопасности от сторонних производителей, устанавливающиеся на системы, использующие программные продукты HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.
Поддержка: По вопросам о внедрении рекомендаций этого бюллетеня безопасности обратитесь в службу поддержки HP по обычному каналу поддержки. По другим вопросам, связанным с содержанием этого бюллетеня безопасности, отправляйте сообщение по адресу security-alert@hp.com.
Отчет: Чтобы сообщить о потенциальной уязвимости в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу security-alert@hp.com
Подписка: Чтобы подписаться на получение бюллетеней безопасности HP по электронной почте, используйте следующий адрес: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Архив бюллетеней безопасности: Список недавно выпущенных бюллетеней безопасности доступен по следующему адресу: https://h20564.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive
Категория программных продуктов: Категория программных продуктов указывается в заголовке в виде двух букв после обозначения HPSB.
3C = 3COM
3P = стороннее ПО
GN = Общее ПО HP
HF = Аппаратное обеспечение и микропрограммы HP
MP = MPE/iX
MU = ПО для различных платформ
NS = Серверы HP NonStop
OV = OpenVMS
PI = Печать и обработка изображений
PV = ProCurve
ST = ПО для хранения данных
TU = Tru64 UNIX
UX = HP-UX
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restorationThe information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.


Страна/регион: Flag Беларусь

hp-detect-load-my-device-portlet

Действия
Загрузка...