solution Contentsolution Content

SUPPORT-KOMMUNIKATION- SICHERHEITSBULLETIN

DOKUMENT-ID: c03145501

Version: 1

HPSBPI02728 SSRT100692 Rev. 6 - Bei bestimmten HP-Druckern und digitalen HP-Sendern sind Remote-Firmware-Aktualisierungen standardmäßig aktiviert

Hinweis: Die Informationen in diesem Sicherheits-Bulletin sollten umgehend berücksichtigt werden.

Veröffentlichungsdatum : 10-Jan-2012

Letzte Aktualisierung: : 10-Jan-2012

Potenzielle Sicherheitsauswirkungen:
Remote-Firmware-Aktualisierungen sind standardmäßig aktiviert

ÜBERSICHT DER SICHERHEITSRISIKEN
Im November 2011 wurde bei bestimmten HP-Druckern und digitalen HP-Sendern wurde ein potenzielles Sicherheitsrisiko festgestellt. Das Sicherheitsrisiko kann von einem entfernten Computer aus ausgenutzt werden, um nicht autorisierte Drucker-Firmware zu installieren. Diese Revision, Version 6, des Sicherheits-Bulletins kündigt die Verfügbarkeit von Firmware-Updates für zusätzliche Geräte an.
Verlauf
Version: 1 (Rev. 1) – 30. November 2011 Erste Veröffentlichung
Version: 2 (Rev. 2) – 23. Dezember 2011 Codesignierungs-Firmware verfügbar
Version: 3 (Rev. 3) – 9. Januar 2012 Tabellen kombiniert
Version: 4 (Rev. 4) – 17. Februar 2012 Drucker hinzugefügt, Firmware-Versionen aktualisiert
Version: 5 (Rev. 5) – 19. März 2012 Drucker hinzugefügt, Firmware-Versionen aktualisiert
Version: 6 (Rev. 6) – 26. April 2012 Drucker hinzufügt, Tabelle neu formatiert
Referenznummer
CVE-2011-4161
UNTERSTÜTZTE SOFTWAREVERSIONEN*: NUR betroffene Versionen sind aufgeführt.
Eine Liste der betroffenen Produkte finden Sie unten im Abschnitt AUFLÖSUNG.
HINTERGRUND
CVSS 2.0-Grundmetriken
Referenz
Basisvektor
Basisvektor
CVE-2011-4161
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10.0
Informationen zu CVSS sind im folgenden HP-Kundenhinweis dokumentiert: HPSN-2008-002.
Hinweis: Weitere Informationen zu sicheren Bildbearbeitungs- und Drucklösungen finden Sie unter http://www.hp.com/go/secureprinting
Remote-Firmware-Aktualisierung (RFU): Die Remote-Firmware-Aktualisierung (RFU) ist standardmäßig aktiviert. Eine Firmware-Aktualisierung kann per Remote-Zugriff und ohne Authentifizierung an Port 9100 gesendet werden. Dadurch kann die Geräte-Firmware ohne Autorisierung geändert werden. Die nicht autorisierte Firmware kann die Vertraulichkeit und Integrität der vom Gerät gesendeten und empfangenen Daten beeinträchtigen. Die nicht autorisierte Firmware kann auch einen Denial of Service (DoS) für den Dienst verursachen.
LÖSUNG
Die folgenden Schritte können ausgeführt werden, um nicht autorisierte Firmware-Aktualisierungen zu vermeiden:
  • Aktualisieren Sie die Firmware auf eine Version, die Codesignierung enthält.
  • Deaktivieren Sie die Remote-Firmware-Aktualisierung.
Die Codesignierungs-Funktion überprüft, ob Firmware-Aktualisierungen korrekt signiert sind. Dies verhindert, dass ungültige Firmware-Aktualisierungen installiert werden.
Produkt
Empfohlene Maßnahme
HP LaserJet Pro 100 Color MFP M175
Update auf Version 20111021
17. Februar 2012 oder später
Farbdrucker der Modellreihe HP LaserJet Pro CP1025
Update auf Version 20120130
22. Februar 2012 oder später
Drucker der Modellreihe HP LaserJet Pro P1102
Update auf Version 20120130
4. Februar 2012 oder später
Multifunktionsdrucker der Modellreihe HP LaserJet M1120
Update auf Version 20120305
22. März 2012 oder später
Multifunktionsdrucker der Serie HP LaserJet Pro M1136
Update auf Version 20120206
17. Februar 2012 oder später
Drucker der Modellreihe HP Color LaserJet CP1210
Update auf Version 20120213
28. Februar 2012 oder später
Multifunktionsdrucker der Modellreihe HP LaserJet Pro M1212NF
Update auf Version 20120206
17. Februar 2012 oder später
HP Color LaserJet CM1312 MFP
Update auf Version 20120104
18. Januar 2012 oder später
HP Color LaserJet CM1312nfi MFP
Update auf Version 20120104
18. Januar 2012 oder später
Multifunktionsdrucker der Modellreihe HP LaserJet M1319
Update auf Version 20120302
13. März 2012 oder später
Multifunktionsdrucker HP LaserJet Pro CM1415 Color
Update auf Version 20120216
22. Februar 2012 oder später
Drucker der Modellreihe HP LaserJet P1500
Update auf Version 20120201
27. Februar 2012 oder später
Drucker der Modellreihe HP Color LaserJet CP1510
Update auf Version 20120110
13. Februar 2012 oder später
Multifunktionsdrucker der Modellreihe HP LaserJet M1522
Update auf Version 20120123
31. Januar 2012 oder später
Drucker HP LaserJet Pro CP1525 Color
Update auf Version 20111215
13. Februar 2012 oder später
Multifunktionsdrucker HP LaserJet Pro M1536
Update auf Version 20111215
13. Februar 2012 oder später
Drucker HP LaserJet Pro P1606DN
Update auf Version 20120130
14. Februar 2012 oder später
HP Color LaserJet CP2025
Update auf Version 20120105
23. Februar 2012 oder später
Drucker der Modellreihe HP LaserJet P2035
Update auf Version 20120105
19. März 2012 oder später
Drucker der Modellreihe HP LaserJet P2055
Update auf Version 20120131
9. Februar 2012 oder später
Multifunktionsdrucker der Modellreihe HP Color LaserJet CM2320
Update auf Version 20120104
18. Januar 2012 oder später
Drucker der Modellreihe HP LaserJet 2400
Update auf Version 08_210_4
13. Januar 2012 oder später
Multifunktionsdrucker der Modellreihe HP LaserJet M2727
Update auf Version 20120123
31. Januar 2012 oder später
All-in-One-Drucker der Modellreihe HP Color LaserJet 2800
Update auf Version 20120307
2. April 2012 oder später
HP Color LaserJet 3000
Update auf Version 46_050_1
17. Februar 2012 oder später
HP LaserJet P3005
Update auf Version 02.150.1
14. März 2012 oder später
HP LaserJet Enterprise P3015
Update auf Version 07_130_7
12. Januar 2012 oder später
HP LaserJet M3027 MFP
Update auf Version 48_241_2
19. Januar 2012 oder später
HP LaserJet M3035 MFP
Update auf Version 48_241_2
19. Januar 2012 oder später
HP Color LaserJet CP3505
Update auf Version 03.130.2
23. Februar 2012 oder später
HP Color LaserJet CP3525
Update auf Version 06_130_8
12. Januar 2012 oder später
HP Color LaserJet CM3530
Update auf Version 53_171_4
19. Januar 2012 oder später
HP Color LaserJet 3800
Update auf Version 46_050_2
17. Februar 2012 oder später
HP Color LaserJet CP4005
Update auf Version 46_190_3
13. Januar 2012 oder später
HP LaserJet P4014
Update auf Version 04_160_9
12. Januar 2012 oder später
HP LaserJet P4015
Update auf Version 04_160_9
12. Januar 2012 oder später
HP LaserJet 4240
Update auf Version 08_220_3
13. Januar 2012 oder später
HP LaserJet 4250
Update auf Version 08_220_3
13. Januar 2012 oder später
Multifunktionsdrucker HP LaserJet 4345
Update auf Version 09.270.1
16. Februar 2012 oder später
HP LaserJet M4345 MFP
Update auf Version 48_241_2
19. Januar 2012 oder später
HP LaserJet 4350
Update auf Version 08_220_3
13. Januar 2012 oder später
HP LaserJet P4515
Update auf Version 04_160_9
12. Januar 2012 oder später
HP Color LaserJet Enterprise CP4525
Update auf Version 07_111_0
12. Januar 2012 oder später
HP Color LaserJet 4700
Update auf Version 46_200_1
17. Februar 2012 oder später
Multifunktionsdrucker HP Color LaserJet 4730
Update auf Version 46.350.1
16. Februar 2012 oder später
HP Color LaserJet CM4730 MFP
Update auf Version 50_221_3
19. Januar 2012 oder später
HP LaserJet M5025 MFP
Update auf Version 48_241_2
19. Januar 2012 oder später
HP LaserJet M5035 MFP
Update auf Version 48_241_2
19. Januar 2012 oder später
HP LaserJet 5200L
Update auf Version 08_181_1
12. Januar 2012 oder später
HP LaserJet 5200N
Update auf Version 08_181_1
12. Januar 2012 oder später
HP Color LaserJet Professional CP5225 Druckerserie
Update auf Version 20111220
10. Januar 2012 oder später
HP Color LaserJet 5550
Update auf Version 07_200_5
9. Februar 2012 oder später
HP Color LaserJet CP6015
Update auf Version 04_151_0
12. Januar 2012 oder später
HP Color LaserJet CM6030
Update auf Version 52_191_2
19. Januar 2012 oder später
HP Color LaserJet CM6040
Update auf Version 52_191_2
19. Januar 2012 oder später
Multifunktionsdrucker HP CM8060 Color mit Edgeline
Deaktivieren der Remote-Firmware-Aktualisierung (Anweisungen)
HP LaserJet 9040
Update auf Version 08_221_5
19. Januar 2012 oder später
Multifunktionsdrucker HP LaserJet 9040
Update auf Version 08_260_1
17. Februar 2012 oder später
HP LaserJet M9040 MFP
Update auf Version 51_191_3
19. Januar 2012 oder später
HP LaserJet 9050
Update auf Version 08_221_5
19. Januar 2012 oder später
Multifunktionsdrucker HP LaserJet 9050
Update auf Version 08_260_1
17. Februar 2012 oder später
HP LaserJet M9050 MFP
Update auf Version 51_191_3
19. Januar 2012 oder später
HP 9200C Digitaler Sender
Update auf Version 09_270_2
17. Februar 2012 oder später
HP 9250C Digitaler Sender
Update auf Version 48_231_2
19. Januar 2012 oder später
HP Color LaserJet 9500
Update auf Version 05_020_3
2. März 2012 oder später
Multifunktionsdrucker HP Color LaserJet 9500
Update auf Version 08.260.1
13. Februar 2012 oder später
So deaktivieren Sie die Remote-Firmware-Aktualisierung (RFU)
Anweisungen zum Deaktivieren der Remote-Firmware-Aktualisierung finden Sie im folgenden Dokument:
Konfigurieren der Remote-Firmware-Aktualisierung auf HP-Druckern und -Multifunktionsgeräten
Das Dokument ist auf der folgenden Website verfügbar:
So laden Sie eine Firmware-Aktualisierung herunter
Die Tabelle oben enthält Links zum Herunterladen von benötigten Firmware-Aktualisierungen. Firmware-Aktualisierungen für diese Geräte können auch wie folgt heruntergeladen werden.
Besuchen Sie www.hp.com/go/support und:
  • Wählen Sie "Treiber und Software" aus.
  • Geben Sie den in der obigen Tabelle aufgeführten Produktnamen in das Suchfeld ein.
  • Klicken Sie auf "Suchen".
  • Wenn die Suche eine Liste von Produkten anzeigt, klicken Sie auf das gewünschte Produkt.
  • Klicken Sie unter "Betriebssystem auswählen" auf "Betriebssystemübergreifend (BIOS, Firmware, Diagnose usw.)".
    Wenn der Link "Betriebssystemübergreifend ..." nicht zu sehen ist, wählen Sie ein Windows-Betriebssystem aus der Liste aus.
  • Wählen Sie die gewünschte Firmware-Aktualisierung unter "Firmware" aus.
Sicherheits-Patches von Drittanbietern: Sicherheits-Patches von Drittanbietern zur Installation auf Systemen mit HP-Softwareprodukten sollten gemäß der Patch-Verwaltungsrichtlinie des Kunden angewendet werden.
Support: Bei Problemen mit der Implementierung der Empfehlungen dieses Sicherheitsbulletins kontaktieren Sie den üblichen HP Services-Supportkanal. Bei weiteren Fragen zum Inhalt dieses Sicherheitsbulletins senden Sie eine E-Mail an security-alert@hp.com.
Melden: Wenn Sie ein potenzielles Sicherheitsrisiko bei einem Produkt mit HP-Support melden möchten, senden Sie eine E-Mail an die folgende Adresse: security-alert@hp.com
Abonnieren: Wenn Sie die Sicherheitsbulletin-Benachrichtigungen von HP abonnieren möchten, besuchen Sie die folgende Website: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Liste der Sicherheitsbulletins: Eine Liste der HP-Sicherheitsbulletins, die regelmäßig aktualisiert wird, ist Bestandteil des HP-Sicherheitshinweises HPSN-2011-001: https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02964430
Archiv für Sicherheitsbulletins: Eine Liste der kürzlich veröffentlichten Sicherheitsbulletins finden Sie hier: http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive/
Software-Produktkategorie: Die Software-Produktkategorie wird im Titel durch zwei Zeichen hinter HPSB angegeben.
3C = 3COM
3P = Software von Drittanbietern
GN = Allgemeine HP-Software
HF = HP-Hardware und -Firmware
MP = MPE/iX
MU = Multi-Plattform-Software
NS = NonStop-Server
OV = OpenVMS
PI = Drucken und Imaging
PV = ProCurve
ST = Speichersoftware
TU = Tru64 UNIX
UX = HP-UX
Systemverwaltungs- und Sicherheitsverfahren müssen regelmäßig überprüft werden, um die Integrität des Systems zu gewährleisten. HP überprüft und verbessert die Sicherheitsmerkmale von Softwareprodukten kontinuierlich, um Kunden stets aktuelle und sichere Lösungen bereitzustellen.

"HP sorgt für eine umfassende Verbreitung dieses Sicherheits-Bulletins, um den Benutzern der betroffenen HP Produkte die wichtigen, in diesem Bulletin enthaltenen Sicherheitsinformationen zukommen zu lassen. HP empfiehlt allen Benutzern, die Relevanz der Informationen hinsichtlich ihrer speziellen Situation zu überprüfen und die erforderlichen Maßnahmen zu ergreifen. HP kann nicht dafür garantieren, dass die Informationen für sämtliche Situationen, denen die Benutzer gegenüber stehen, vollständig und korrekt sind. Daher haftet HP nicht für Schäden in Zusammenhang mit der Beachtung oder Nichtbeachtung der in diesem Bulletin bereitgestellten Informationen durch den Benutzer. Im gesetzlich zulässigen Rahmen lehnt HP jegliche stillschweigende oder ausdrückliche Gewährleistung ab, hierzu zählen auch die Gewährleistung der Markttauglichkeit und der Eignung für einen bestimmten Zweck sowie Gewährleistungen des Rechtstitels sowie der Nichtverletzung der Rechte Dritter."

Die HP Inc. haftet nicht für technische oder redaktionelle Fehler oder Auslassungen in diesem Kurs. Die Informationen werden "wie gesehen" bereitgestellt und stellen keinerlei Gewährleistung dar. Im gesetzlich zulässigen Rahmen sind weder HP noch seine Partner, Subunternehmer oder Lieferanten für zufällige, Folge- oder besondere Schäden haftbar. Hierzu zählen: Kosten für Ausfallzeiten, Gewinnausfälle, Schäden in Zusammenhang mit der Bereitstellung von Ersatzprodukten oder -services oder Schäden in Zusammenhang mit dem Verlust von Daten oder der Wiederherstellung von Software. Inhaltliche Änderungen dieses Handbuchs behalten wir uns ohne Ankündigung vor. HP Inc. und die Namen der hier verwendeten HP Produkte sind Marken der HP Inc. in den USA und anderen Ländern. Weitere hier verwendete Produkt- oder Unternehmensnamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.