hp-support-head-portlet

Azioni
Caricamento...
Assistenza clienti HP - Knowledge Base

hp-contact-secondary-navigation-portlet

Azioni
Caricamento...

hp-share-print-widget-portlet

Azioni
Caricamento...

hp-concentra-wrapper-portlet

Azioni
Caricamento...

COMUNICAZIONE DI SUPPORTO- BOLLETTINO SULLA SICUREZZA

ID documento: c04500899

Versione: 1

HPSBHF03124 Rev. 2 - Thin client HP su cui è in esecuzione shell Bash, esecuzione di codice remoto

AVVISO:: Le informazioni contenute nel presente bollettino devono essere applicate il più presto possibile.

Data di rilascio : 10-Nov-2014

Ultimo aggiornamento : 12-Nov-2014

Potenziale impatto sulla sicurezza:
Esecuzione di codice remoto

RIEPILOGO VULNERABILITÀ
Sono state identificate potenziali vulnerabilità della protezione in determinati Thin client HP su cui è in esecuzione shell Bash. Le vulnerabilità, note come "Shellshock", potrebbero essere sfruttate in remoto per consentire l'esecuzione del codice.
Numero di riferimento
  • CVE-2014-6271
  • CVE-2014-6277
  • CVE-2014-6278
  • CVE-2014-7169
  • CVE-2014-7186
  • CVE-2014-7187
  • SSRT101728
VERSIONI SOFTWARE SUPPORTATE*: sono riportate SOLO le versioni interessate.
Nota: tutte le versioni dei sistemi operativi HP Thin Pro e HP Smart Zero Core precedenti alla versione 5.1.0 sono colpite da queste vulnerabilità. Di seguito vi è un elenco completo di sistemi operativi e piattaforme hardware interessati.
HP ThinPro:
  • HP ThinPro 5.0 (rilasciato a giugno 2014)
  • HP ThinPro 4.4 (rilasciato a novembre 2013)
  • HP ThinPro 4.3 (rilasciato a giugno 2013)
  • HP ThinPro 4.2 (rilasciato a novembre 2012)
  • HP ThinPro 4.1 (rilasciato a marzo 2012)
  • HP ThinPro 3.2 (rilasciato a novembre 2010)
  • HP ThinPro 3.1 (rilasciato a giugno 2010)
  • HP ThinPro 3.0 (rilasciato a novembre 2009)
  • HP ThinPro 2.0 (rilasciato nel 2009)
  • HP ThinPro 1.5 (rilasciato nel 2009)
  • HP ThinPro 1.0 (rilasciato nel 2008)
HP Smart Zero Core:
  • HP Smart Zero Core 5.0 (rilasciato a giugno 2014)
  • HP Smart Zero Core 4.4 (rilasciato a novembre 2013)
  • HP Smart Zero Core 4.3 (rilasciato a giugno 2013)
  • HP Smart Zero Core 4.2 (rilasciato a novembre 2012)
  • HP Smart Zero Core 4.1 (rilasciato a marzo 2012)
  • HP Smart Zero Core 4.0 (rilasciato a marzo 2011)
Piattaforme hardware interessate:
  • Thin client flessibile HP t620 PLUS quad core
  • Thin client flessibile HP t620 dual core
  • Thin client flessibile HP t620 PLUS dual core
  • Thin client flessibile HP t620 quad core
  • Thin client flessibile HP t520
  • Thin client flessibile HP t505
  • Thin client flessibile HP t510
  • HP Smart ZC t410 RFX/HDX All-in-One 18,5
  • Zero client HP t410 Smart
  • Thin client flessibile HP t610 PLUS
  • Thin client flessibile HP t610
  • Thin client HP t5565 Smart client HP t5565z
INFORMAZIONI DI BASE
Metrica di base CVSS 2.0
Riferimento
Vettore di base
Punteggio di base
CVE-2014-6271
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2104-6277
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2104-6278
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7169
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7186
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10
CVE-2014-7187
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
10

Le informazioni relative a CVSS sono documentate nell’Avviso ai clienti HP: HPSN-2008-002
RISOLUZIONE
Per risolvere queste vulnerabilità, HP ha rilasciato i seguenti aggiornamenti del software.
Prodotto interessati
Versioni del prodotto
Stato della patch
HP ThinPro e HP Smart Zero Core (X86)
v5.1.0 e successive
Nessun aggiornamento richiesto; la patch di shell Bash è integrata nell'immagine di base.
Nota: se l'utente ha partecipato al programma beta ThinPro 5.1.0, eseguire l'aggiornamento alla versione finale appena diventa disponibile.
HP ThinPro e HP Smart Zero Core (x86)
v5.0.x
È disponibile un aggiornamento del componente tramite Easy Update come: “ SecurityUpdate-Shellshock-2.0-all-5.0-x86.xar”.
L'aggiornamento può essere anche scaricato direttamente da HP come parte del softpaq sp69382 all'indirizzo seguente: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro e HP Smart Zero Core (x86)
v4.4.x
È disponibile un aggiornamento del componente tramite Easy Update come: “ SecurityUpdate-Shellshock-2.0-all-4.4-x86.xar”.
L'aggiornamento può essere anche scaricato direttamente da HP come parte del softpaq sp69382 all'indirizzo seguente: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro e HP Smart Zero Core (ARM)
v4.4.x
È disponibile un aggiornamento del componente tramite Easy Update come: “ SecurityUpdate-Shellshock-2.0-all-4.4-arm.xar”.
L'aggiornamento può essere anche scaricato direttamente da HP come parte del softpaq sp69382 all'indirizzo seguente: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro e HP Smart Zero Core (X86)
v4.1, v4.2 e v4.3
È disponibile un aggiornamento del componente tramite Easy Update come: “ SecurityUpdate-Shellshock-2.0-all-4.1-4.2-4.3-x86.xar”.
L'aggiornamento può essere anche scaricato direttamente da HP come parte del softpaq sp69382 all'indirizzo seguente: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro e HP Smart Zero Core (ARM)
v4.1, v4.2 e v4.3
È disponibile un aggiornamento del componente tramite Easy Update come: “ SecurityUpdate-Shellshock-2.0-all-4.1-4.2-4.3-arm.xar”.
L'aggiornamento può essere anche scaricato direttamente da HP come parte del softpaq sp69382 all'indirizzo seguente: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe
HP ThinPro e HP Smart Zero Core (X86)
v3.1, v3.2 e v3.3
Scaricare il SoftPaq sp69382 da: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe, il quale contiene il seguente pacchetto di aggiornamento: “ bash_4.1-3+deb6u2_i386.deb”.
HP ThinPro e HP Smart Zero Core (ARM)
v3.1, v3.2 e v3.3
Scaricare il SoftPaq sp69382 da: ftp://ftp.hp.com/pub/softpaq/sp69001-69500/sp69382.exe, il quale contiene il seguente pacchetto di aggiornamento: “ bash_4.1-3+deb6u2_armel.deb”.
HP ThinPro e HP Smart Zero Core
v2.x e precedenti
Un aggiornamento verrà reso disponibile per i clienti su richiesta
CRONOLOGIA
Versione: 1 (rev. 1) - 3 ottobre 2014 Versione iniziale
Versione: 2 (rev. 2) - 6 novembre 2014 Elenco aggiornato dei CVE, prodotti interessati aggiornati, sezione risoluzioni aggiornata
Patch di sicurezza di terze parti: le patch di sicurezza di terze parti da installare su sistemi che eseguono prodotti software HP devono essere applicate in base ai criteri di gestione patch del cliente.
Supporto: per problemi riguardanti l’implementazione delle raccomandazioni del presente bollettino sulla sicurezza, contattare il normale canale di Assistenza clienti HP. Per altri problemi riguardanti il contenuto del presente bollettino sulla sicurezza, inviare un’e-mail all’indirizzo security-alert@hp.com.
Segnalazione: per segnalare una potenziale vulnerabilità nella protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: security-alert@hp.com
Sottoscrizione: per ricevere tramite e-mail gli avvisi relativi ai prossimi bollettini sulla sicurezza HP: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Archivio dei bollettini sulla sicurezza: un elenco di bollettini sulla sicurezza rilasciati recentemente è disponibile da: https://h20564.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive
Categorie di prodotti software: la categoria del prodotto software è rappresentata nel titolo dai due caratteri che seguono HPSB.
3C = 3COM
3P = SW di terze parti
GN = Software generico HP
HF = Hardware e firmware HP
MP = MPE/iX
MU = Software multi-piattaforma
NS = Server NonStop
OV = OpenVMS
PI = Stampa e acquisizione
PV = ProCurve
ST = Software di archiviazione
TU = Tru64 UNIX
UX = HP-UX
La gestione del sistema e le procedure di sicurezza devono essere analizzate frequentemente per mantenere l'integrità del sistema. HP rivede e ottimizza continuamente le funzionalità di protezione dei prodotti software per fornire ai propri clienti le soluzioni più aggiornate e sicure.

"HP distribuisce il presente bollettino al fine di portare l'attenzione degli utenti sui prodotti HP interessati dalle importanti informazioni di sicurezza contenute nel bollettino.HP consiglia a tutti gli utenti di stabilire l'applicabilità di queste informazioni alle loro situazioni individuali al fine di prendere le misure appropriate.HP non garantisce la precisione o la completezza di queste informazioni per l'utilizzo in tutte le situazioni e, di conseguenza, HP non è responsabile di qualsiasi danno derivante dall'utilizzo o dal mancato utilizzo delle informazioni fornite dal presente bollettino.Secondo quanto previsto dalla legge, HP non è responsabile di qualsiasi garanzia, incluse tutte le garanzie espresse e implicite e le condizioni di commerciabilità, di idoneità per uno scopo specifico, della titolarità e della violazione dei diritti altrui."

HP Inc. declina ogni responsabilità per eventuali omissioni ed errori tecnici o editoriali contenuti nel presente documento.Le informazioni vengono fornite "così come sono" senza garanzie di alcun tipo.Secondo quanto previsto dalla legge, né HP né le sue associate, subappaltatori o fornitori potranno essere ritenuti responsabili per qualsiasi danno incidentale, speciale o derivante compresi i costi per i tempi di inattività, perdita di profitti, danni imputabili a forniture di prodotti o servizi sostitutivi oppure a perdite di dati o ripristino di software.Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso.HP Inc. e i nomi dei prodotti HP sono marchi di HP Inc. negli Stati Uniti e in altri Paesi.I nomi degli altri prodotti e delle società qui riportati potrebbero essere marchi dei loro rispettivi proprietari.

hp-feedback-input-portlet

Azioni
Caricamento...

hp-feedback-banner-portlet

Azioni
Caricamento...

hp-country-locator-portlet

Azioni
Caricamento...
Paese/area geografica: Flag Italia

hp-detect-load-my-device-portlet

Azioni
Caricamento...