hp-support-head-portlet

Acciones
Cargando...

Bienvenido al Centro de Soporte al cliente HP

hp-contact-secondary-navigation-portlet

Acciones
Cargando...

hp-share-print-widget-portlet

Acciones
Cargando...

hp-concentra-wrapper-portlet

Acciones
Cargando...

COMUNICACIÓN DE SOPORTE- BOLETÍN DE SEGURIDAD

ID de documento: c03192968

Versión: 1

HPSBPI02698 SSRT100404 rev.2: software HP Easy Printer Care en Windows; ejecución remota de código arbitrario

Aviso:: La información que contiene este boletín de seguridad debe cumplirse lo antes posible.

Fecha de publicación : 08-Feb-2012

Última actualización : 20-Feb-2012

Posible impacto en la seguridad:
Ejecución remota de código arbitrario

Fuente:HP, HP Product Security Response Team (PSRT)

RESUMEN DE VULNERABILIDADES
Se ha detectado una posible vulnerabilidad de seguridad en el software HP Easy Printer Care en Windows. La vulnerabilidad se podría aprovechar de forma remota para escribir archivos arbitrarios en el sistema y ejecutarlos a través del explorador.
Número de referencia
CVE-2011-2404, ZDI-CAN-1092, CVE-2011-4786, ZDI-CAN-1093, CVE-2011-4787, ZDI-CAN-1117
VERSIONES DE SOFTWARE COMPATIBLES*: SOLO se incluyen las versiones afectadas.
Software HP Easy Printer Care Software v2.5 y anteriores para Windows XP y Vista. Este software de Windows puede utilizarse junto con los siguientes modelos de impresora Laser Jet y Color Laser Jet:
Laser Jet P1005 / P1006 / P1007 / P1008
Laser Jet 1010 / 1012 / 1015
Laser Jet P1102 / P1102w
Laser Jet M1120 / M1120n
Laser Jet Pro M1132 / M1134 / M1136 / M1137 / M1138 / M1139
Laser Jet 1150
Laser Jet 1160
Laser Jet Pro M1212nf / M1213nf / N1214nfh / M1216nfh / M1217nfw / M1219nf
Laser Jet 1300
Laser Jet 1320
Laser Jet P1505
Laser Jet 2100
Laser Jet 2200
Laser Jet 2300 / 2300L
Laser Jet 2410 / 2420 / 2430
Laser Jet 3015 Todo-en-Uno
Laser Jet 3020/3030 Todo-en-Uno
Laser Jet 3050Z Todo-en-Uno
Laser Jet 3380 Todo-en-Uno
Laser Jet M3035mfp
Laser Jet 4000
Laser Jet 4050
Laser Jet 4100
Laser Jet 4100mfp
Laser Jet 4200 / 4240 / 4250
Laser Jet 4300 / 4350
Laser Jet M4345mfp
Laser Jet 4345mfp
Laser Jet 5000
Laser Jet M5035mfp
Laser Jet 5100
Laser Jet 5200 / Laser Jet 5200L
Laser Jet 8000
Laser Jet 8000mfp
Laser Jet 8100 / 8150
Laser Jet 9000
Laser Jet 9000mfp / 9000Lmfp
Laser Jet 9040 / 9050
Laser Jet 9040mfp / 9050mfp / 9055mfp / 9065mfp
Color Laser Jet CP 1215 / 1217
Color Laser Jet CP 1514n / 1515n / 1518ni
Color Laser Jet 2500
Color Laser Jet 2550
Color Laser Jet 2820 / 2840 Todo-en-Uno
Color Laser Jet 3000*
Color Laser Jet 3500 / 3550
Color Laser Jet 3600
Color Laser Jet 3700
Color Laser Jet 3800*
Color Laser Jet4500
Color Laser Jet 4550
Color Laser Jet 4600 / 4610 / 4650
Color Laser Jet 4700*
Color Laser Jet 4730mfp*
Color Laser Jet 5500 / 5550
Color Laser Jet 8500
Color Laser Jet 8550
Color Laser Jet 9500
Color Laser Jet 9500mfp
ANTECEDENTES
Medidas de base CVSS 2.0
Referencia
Vector de base
Evaluación de base
CVE-2011-2404
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
CVE-2011-4786
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
CVE-2011-4787
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
La información sobre CVSS está incluida en el Aviso al cliente de HP: HPSN-2008-002
RESOLUCIÓN
El software HP Easy Printer Care v2.5 y anteriores para Windows XP y Vista ya no está disponible en HP. HP ya no da soporte al software HP Easy Printer Care.
HP recomienda la desinstalación de este software del sistema en cuanto sea posible.
El control ActiveX HPTicketMgr.dll que es vulnerable es CLSID 466576F3-19B6-4FF1-BD48-3E0E1BFB96E9. Si no se desinstala el software Easy Printer Care, HP recomienda establecer el bit de invalidación para el identificador de clase (CLSID) del control ActiveX vulnerable {466576F3-19B6-4FF1-BD48-3E0E1BFB96E9}. El bit de invalidación se establece mediante la modificación del valor de datos del valor DWORD de los indicadores de compatibilidad para el CLSID de este control ActiveX a 0x00000400. Se explica en el artículo KB240797 o posteriores de Microsoft. http://support.microsoft.com/kb/240797
HISTORIAL
Versión:1 (rev.1): 8 de agosto de 2011, publicación inicial
Versión:2 (rev.2): 11 de enero de 2012, se han agregado problemas de ZDI adicionales afectados en Easy Printer Care
Parches de seguridad de terceros: Los parches de seguridad de terceros que se instalen en sistemas que ejecutan productos de software de HP se deben aplicar según la política de gestión de parches del cliente.
Soporte: para obtener más información, póngase en contacto con el canal de soporte de Servicios HP estándar.
Informe: para informar de una posible vulnerabilidad de seguridad en cualquier producto con soporte técnico de HP, envíe un correo electrónico a: security-alert@hp.com
Suscripción: para suscribirse y recibir alertas de los boletines de seguridad de HP en el futuro, envíe un correo electrónico a: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Categoría de productos de software: la categoría de productos de software está representada en el título por los dos caracteres que van después de HPSB.
3C = 3COM
3P = Software de terceros
GN = Software general de HP
HF = Hardware y firmware de HP
MP = MPE/iX
MU = Software multiplataforma
NS = Servidores NonStop
OV = OpenVMS
PI = Impresión y creación de imágenes
PV = ProCurve
ST = Software de almacenamiento
TU = Tru64 UNIX
UX = HP-UX
La gestión del sistema y los procedimientos de seguridad deben revisarse con frecuencia para mantener la integridad del sistema. HP revisa y mejora continuamente las funciones de seguridad de los productos de software para proporcionar a los clientes soluciones seguras y vigentes.

"HP distribuye ampliamente este boletín de seguridad para poner de relieve información de seguridad importante a los usuarios de los productos de HP afectados.HP recomienda a todos los usuarios que determinen la posibilidad de aplicación de esta información según su situación individual y tomen las medidas apropiadas.HP no garantiza que esta información sea necesariamente precisa o completa para todas las situaciones a las que deba hacer frente el usuario y, como consecuencia, HP no se hace responsable de ningún daño provocado por el uso o la desestimación de la información proporcionada en este boletín por parte del usuario.En la medida en que lo permita la ley, HP renuncia a todas las garantías, implícitas o explícitas, incluidas las garantías de comerciabilidad y adecuación a un fin específico, derechos y cumplimiento normativo."

HP Inc. no se hace responsable de los errores técnicos o editoriales ni de las omisiones del presente documento.Esta información se ha proporcionado "tal cual", sin ningún tipo de garantía.En la medida en que lo permita la ley, ni HP ni sus filiales, subcontratistas o proveedores serán responsables de los daños resultantes, cuantificables o indirectos, incluidos costes por tiempo de inactividad, beneficios perdidos, daños relacionados con la adquisición o la sustitución de productos o servicios, o daños provocados por la pérdida de datos o la restauración de software.La información de este documento está sujeta a cambios sin previo aviso.HP Inc. y los nombres de productos de HP citados en este documento son marcas comerciales de HP en Estados Unidos y otros países.El resto de nombres de compañías y productos mencionados en este documento son marcas comerciales de sus respectivos propietarios.

hp-feedback-input-portlet

Acciones
Cargando...

hp-online-communities-portlet

Acciones
Cargando...

Pregunta a la comunidad


Foro de asistencia

Foro de asistencia

Únase a la conversación. Busque soluciones, pregunte y comparta consejos con otros propietarios de productos HP. Visite el sitio ahora


hp-feedback-banner-portlet

Acciones
Cargando...

hp-country-locator-portlet

Acciones
Cargando...
País: Flag España

hp-detect-load-my-device-portlet

Acciones
Cargando...