hp-support-head-portlet

操作
正在装入...
HP 客户支持 - 知识库

hp-contact-secondary-navigation-portlet

操作
正在装入...

hp-share-print-widget-portlet

操作
正在装入...
  • 信息

    修复可能导致打印作业在Windows更新后失败的间歇性打印服务错误-单击此处

    信息
    修复Windows 10更新问题

    解决HP电脑或打印机上的Windows 10或更新问题 - 点击查看

hp-concentra-wrapper-portlet

操作
正在装入...

SUPPORT COMMUNICATION- 資訊安全公告

文件 ID: c04526436

版本: 1

HPSBHF03124 修訂版 2 - 執行 Bash Shell 的 HP 精簡型電腦、遠端執行程式碼

Notice:: The information in this security bulletin should be acted upon as soon as possible.

发布日期 : 09-Dec-2014

最近更新 : 11-Dec-2014

Potential Security Impact:
遠端執行程式碼

漏洞简介
在執行 Bash Shell 的特定 HP 精簡型電腦上發現潛在的安全漏洞。 這些所謂「ShellShock」的漏洞可能會遭到遠端利用,允許攻擊者執行程式碼。
参考编号
  • CVE-2014-6271
  • CVE-2014-6277
  • CVE-2014-6278
  • CVE-2014-7169
  • CVE-2014-7186
  • CVE-2014-7187
  • SSRT101728
支持软件版本*: 只列出受影响的版本。
注意: 這些漏洞會影響 5.1.0 版以前的所有 HP Thin Pro 及 HP Smart Zero Core 作業系統版本。 以下列出受影響作業系統的完整清單與「受影響的硬體平台」。
HP ThinPro:
  • HP ThinPro 5.0 (2014 年 6 月發行)
  • HP ThinPro 4.4 (2013 年 11 月發行)
  • HP ThinPro 4.3 (2013 年 6 月發行)
  • HP ThinPro 4.2 (2012 年 11 月發行)
  • HP ThinPro 4.1 (2012 年 3 月發行)
  • HP ThinPro 3.2 (2010 年 11 月發行)
  • HP ThinPro 3.1 (2010 年 6 月發行)
  • HP ThinPro 3.0 (2009 年 11 月發行)
  • HP ThinPro 2.0 (2009 年發行)
  • HP ThinPro 1.5 (2009 年發行)
  • HP ThinPro 1.0 (2008 年發行)
HP Smart Zero Core:
  • HP Smart Zero Core 5.0 (2014 年 6 月發行)
  • HP Smart Zero Core 4.4 (2013 年 11 月發行)
  • HP Smart Zero Core 4.3 (2013 年 6 月發行)
  • HP Smart Zero Core 4.2 (2012 年 11 月發行)
  • HP Smart Zero Core 4.1 (2012 年 3 月發行)
  • HP Smart Zero Core 4.0 (2011 年 3 月發行)
受影響的硬體平台:
  • HP t620 PLUS 彈性四核心精簡型電腦
  • HP t620 彈性雙核心精簡型電腦
  • HP t620 PLUS 彈性雙核心精簡型電腦
  • HP t620 彈性四核心精簡型電腦
  • HP t520 彈性精簡型電腦
  • HP t505 彈性精簡型電腦
  • HP t510 彈性精簡型電腦
  • HP t410 All-in-One 18.5 RFX/HDX Smart ZC
  • HP t410 智慧極簡型電腦
  • HP t610 PLUS 彈性精簡型電腦
  • HP t610 彈性精簡型電腦
  • HP t5565 精簡型電腦 HP t5565z 智慧型電腦
后台
CVSS 2.0 基本指標
參考
基本向量
基本評分
CVE-2014-6271
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2104-6277
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2104-6278
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7169
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7186
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7187
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10

CVSS 相關資訊請見 HP 客戶通知: HPSN-2008-002
解决方案
為修正這些漏洞,HP 已推出下列軟體更新。
受影響的產品
產品版本
修補程式狀態
HP ThinPro 和 HP Smart Zero Core (X86)
5.1.0 版及更新版本
無需更新; Bash Shell 修補程式已納入基本映像。
注意: 如果您已參與 ThinPro 5.1.0 Beta 版計劃,請在發行版本上市時升級至該版本。
HP ThinPro 和 HP Smart Zero Core (x86)
5.0.x 版
元件更新目前可透過 Easy Update (簡易更新) 取得,其檔名為: 「 SecurityUpdate-Shellshock-2.0-all-5.0-x86.xar」。
此更新也是 sp69382 的一部分,您可以直接從 HP 下載該 SoftPaq,下載位址為: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro 和 HP Smart Zero Core (x86)
4.4.x 版
元件更新目前可透過 Easy Update (簡易更新) 取得,其檔名為: 「 SecurityUpdate-Shellshock-2.0-all-4.4-x86.xar」。
此更新也是 sp69382 的一部分,您可以直接從 HP 下載該 SoftPaq,下載位址為: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro 和 HP Smart Zero Core (ARM)
4.4.x 版
元件更新目前可透過 Easy Update (簡易更新) 取得,其檔名為: 「 SecurityUpdate-Shellshock-2.0-all-4.4-arm.xar」。
此更新也是 sp69382 的一部分,您可以直接從 HP 下載該 SoftPaq,下載位址為: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro 和 HP Smart Zero Core (X86)
4.1 版、4.2 版和 4.3 版
元件更新目前可透過 Easy Update (簡易更新) 取得,其檔名為: 「 SecurityUpdate-Shellshock-2.0-all-4.1-4.2-4.3-x86.xar」。
此更新也是 sp69382 的一部分,您可以直接從 HP 下載該 SoftPaq,下載位址為: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro 和 HP Smart Zero Core (ARM)
4.1 版、4.2 版和 4.3 版
元件更新目前可透過 Easy Update (簡易更新) 取得,其檔名為: 「 SecurityUpdate-Shellshock-2.0-all-4.1-4.2-4.3-arm.xar」。
此更新也是 sp69382 的一部分,您可以直接從 HP 下載該 SoftPaq,下載位址為: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro 和 HP Smart Zero Core (X86)
3.1 版、3.2 版和 3.3 版
SoftPaq sp69382 下載位址: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe,其中包含的更新套件檔名為: 「 bash_4.1-3+deb6u2_i386.deb」。
HP ThinPro 和 HP Smart Zero Core (ARM)
3.1 版、3.2 版和 3.3 版
SoftPaq sp69382 下載位址: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe,其中包含的更新套件檔名為: 「 bash_4.1-3+deb6u2_armel.deb」。
HP ThinPro 和 HP Smart Zero Core
2.x 版及較舊版本
更新將應客戶要求提供
版本記錄
版本:1 (修訂版 1) - 2014 年 10 月 3 日初版
版本:2 (修訂版 2) - 2014 年 11 月 6 日更新 CVE 清單、更新受影響產品、更新解決方案表格
協力廠商安全性修補程式: 套用要安裝在執行 HP 軟體產品之系統上的協力廠商安全性修補程式時,請務必遵循客戶的修補程式管理原則。
支援: 如有執行本「資訊安全公告」所提建議事項的相關問題,請聯絡一般 HP 服務支援管道。 有關「資訊安全公告」內容的其他問題,請將電子郵件傳送到 security-alert@hp.com。
報告: 若要通報任何 HP 支援產品的潛在安全性漏洞,請寄電子郵件至: security-alert@hp.com
訂閱: 若要啟始訂閱以便透過電子郵件接收日後發佈的「HP 資訊安全公告」,請至: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
資訊安全公告存檔: 近期發佈的「資訊安全公告」可在這裡取得: https://h20564.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive
軟體產品類別: 「軟體產品類別」在標題中,以 HPSB 之後的兩個字元來表示。
3C = 3COM
3P = 協力廠商軟體
GN = HP 一般軟體
HF = HP 硬體與韌體
MP = MPE/iX
MU = 多平台軟體
NS = NonStop 伺服器
OV = OpenVMS
PI = 列印與影像處理
PV = ProCurve
ST = 儲存軟體
TU = Tru64 UNIX
UX = HP-UX
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restorationThe information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.

hp-feedback-input-portlet

操作
正在装入...

hp-feedback-banner-portlet

操作
正在装入...

hp-country-locator-portlet

操作
正在装入...
国家/地区: 中国

hp-detect-load-my-device-portlet

操作
正在装入...