hp-support-head-portlet

Azioni
Caricamento...
Assistenza clienti HP - Knowledge Base

hp-contact-secondary-navigation-portlet

Azioni
Caricamento...

hp-share-print-widget-portlet

Azioni
Caricamento...

hp-concentra-wrapper-portlet

Azioni
Caricamento...

COMUNICAZIONE DI SUPPORTO- BOLLETTINO SULLA SICUREZZA

ID documento: c04633208

Versione: 1

HPSBHF03279 rev. 2 - PC HP per punti vendita che eseguono Windows con i driver OPOS, Esecuzione di codice da remoto

AVVISO:: Le informazioni contenute nel presente bollettino devono essere applicate il più presto possibile.

Data di rilascio : 08-Apr-2015

Ultimo aggiornamento : 13-Apr-2015

Potenziale impatto sulla sicurezza:
Esecuzione di codice da remoto

RIEPILOGO VULNERABILITÀ
Sono state identificate delle potenziali vulnerabilità della sicurezza con determinati PC HP per punti vendita che eseguono Windows con i driver OPOS (OLE Point of Sale). Le vulnerabilità potrebbero essere sfruttate in remoto per consentire l’esecuzione del codice.
Numero di riferimento
  • CVE-2014-7888 (ZDI-CAN-2512, SSRT101696)
  • CVE-2014-7889 (ZDI-CAN-2511, SSRT101695)
  • CVE-2014-7890 (ZDI-CAN-2510, SSRT101694)
  • CVE-2014-7891 (ZDI-CAN-2509, SSRT101693)
  • CVE-2014-7892 (ZDI-CAN-2508, SSRT101692)
  • CVE-2014-7893 (ZDI-CAN-2507, SSRT101691)
  • CVE-2014-7894 (ZDI-CAN-2506, SSRT101690)
  • CVE-2014-7895 (ZDI-CAN-2505, SSRT101689)
  • CVE-2014-7897 (SSRT101689)
  • CVE-2014-7898 (SSRT101689)
VERSIONI SOFTWARE SUPPORTATE*: sono riportate SOLO le versioni interessate.
PC HP per punti vendita che eseguono Windows con i driver OPOS (OLE Point of Sale) precedenti alla versione v1.13.003.
INFORMAZIONI DI BASE
Metrica di base CVSS 2.0
Riferimento
Vettore di base
Punteggio di base
CVE-2014-7888
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7889
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7890
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7891
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7892
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7893
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7894
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7895
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7897
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
CVE-2014-7898
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
6,8
Le informazioni relative a CVSS sono documentate nell’Avviso ai clienti HP: HPSN-2008-002
RISOLUZIONE
Le vulnerabilità nei PC HP per punti vendita che eseguono Windows con i driver OPOS si risolvono installando il softpaq SP70564 contenente i CCO OPOS v1.13.003. Il pacchetto contiene elementi di controllo comuni relativi a tutti i prodotti interessati nella tabella seguente.
Scaricare il pacchetto SP70564 dal sito di supporto e driver per il prodotto colpito dal problema.
Andare all’indirizzo http://www.hp.com:
  1. Selezionare “Supporto” e quindi “Scarica driver”
  2. Immettere il nome del sistema POS, come il nome del prodotto “HP rp5800 Retail System”, quindi fare clic su Vai.
  3. Scegliere il sistema operativo appropriato dopo aver selezionato il collegamento per il prodotto appropriato.
  4. I driver più recenti saranno nella sezione “Software”.
  5. Scaricare il Softpaq “Elementi di controllo comuni OPOS” v1.13.003.
Descrizione prodotto HP
Codice prodotto
Codice CVE, driver interessato
Monitor
Display VFD HP Retail RP7 fronte cliente
QZ701AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Display HP Retail 2x20 integrato
G6U79AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Complex HP Retail 2x20 integrato
G7G29AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Stampanti
Stampante termica per ricevute PUSB HP ALL
FK224AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Stampante termica per ricevute SerialUSB HP
BM476AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Stampante ibrida POS HP con MICR US
FK184AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Stampante di ricevute HP Value PUSB
F7M67AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Stampante di ricevute Serial/USB HP Value ALL
F7M66AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
CVE-2014-7894
OPOSPOSPrinter.ocx
CVE-2014-7888
OPOSMICR.ocx
CVE-2014-7893
OPOSCheckScanner.ocx
Cassetti contanti
Cassetto contanti Standard Duty USB HP
E8E45AA / AT
CVE-2014-7895
OPOSCashDrawer.ocx
MSR
Mini MSR HP
FK186AA / AT
CVE-2014-7892
OPOSMSR.ocx
MSR a doppia testina HP Retail integrato
QZ673AA / AT
CVE-2014-7892
OPOSMSR.ocx
MSR SRED a testina singola HP integrata
J1A33AA / AT
CVE-2014-7892
OPOSMSR.ocx
MSR SRED a testina singola HP integrata
J1A34AA / AT
CVE-2014-7892
OPOSMSR.ocx
MSR SRED a testina singola HP RP7
K1K15AA/AT
CVE-2014-7892
OPOSMSR.ocx
Tastiere
Tastiera HP POS
FK221AA / AT
CVE-2014-7891
OPOSPOSKeyboard.ocx
CVE-2014-7892
OPOSMSR.ocx
CVE-2014-7890
OPOSToneIndicator.ocx
Tastiera HP POS con MSR
FK218AA / AT
CVE-2014-7891
OPOSPOSKeyboard.ocx
CVE-2014-7892
OPOSMSR.ocx
CVE-2014-7890
OPOSToneIndicator.ocx
Display su asta
Display su asta POS
FK225AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Display cliente POS grafico HP
QZ704AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Display su asta HP LCD
F7A93AA / AT
CVE-2014-7889
OPOSLineDisplay.ocx
Scanner
Scanner codice a barre Imaging HP
BW868AA / AT
CVE-2014-7897
OPOSScanner.ocx
Scanner codice a barre Linear HP
QY405AA / AT
CVE-2014-7897
OPOSScanner.ocx
Scanner codice a barre Presentation HP
QY439AA / AT
CVE-2014-7897
OPOSScanner.ocx
Scanner codice a barre HP Retail integrato
E1L07AA / AT
CVE-2014-7897
OPOSScanner.ocx
Scanner codice a barre wireless HP
E6P34AA / AT
CVE-2014-7897
OPOSScanner.ocx
Scanner wireless 2D HP Value
K3L28AA
CVE-2014-7897
OPOSScanner.ocx
CRONOLOGIA
Versione: 1 (rev. 1) - Prima versione 4 marzo 2015
Versione: 2 (rev. 2) - Istruzioni di download corrette e spiegate 20 marzo 2015
Patch di sicurezza di terze parti: le patch di sicurezza di terze parti da installare su sistemi che eseguono prodotti software HP devono essere applicate in base ai criteri di gestione patch del cliente.
Supporto: per problemi riguardanti l’implementazione delle raccomandazioni del presente bollettino sulla sicurezza, contattare il normale canale di Assistenza clienti HP. Per altri problemi riguardanti il contenuto del presente bollettino sulla sicurezza, inviare un’e-mail all’indirizzo security-alert@hp.com.
Segnalazione: per segnalare una potenziale vulnerabilità nella protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: security-alert@hp.com
Sottoscrizione: per ricevere tramite e-mail gli avvisi relativi ai prossimi bollettini sulla sicurezza HP: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Archivio dei bollettini sulla sicurezza: un elenco di bollettini sulla sicurezza rilasciati recentemente è disponibile da: https://h20564.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive
Categorie di prodotti software: la categoria del prodotto software è rappresentata nel titolo dai due caratteri che seguono HPSB.
3C = 3COM
3P = SW di terze parti
GN = Software generico HP
HF = Hardware e firmware HP
MP = MPE/iX
MU = Software multi-piattaforma
NS = Server NonStop
OV = OpenVMS
PI = Stampa e acquisizione
PV = ProCurve
ST = Software di archiviazione
TU = Tru64 UNIX
UX = HP-UX
La gestione del sistema e le procedure di sicurezza devono essere analizzate frequentemente per mantenere l'integrità del sistema. HP rivede e ottimizza continuamente le funzionalità di protezione dei prodotti software per fornire ai propri clienti le soluzioni più aggiornate e sicure.

"HP distribuisce il presente bollettino al fine di portare l'attenzione degli utenti sui prodotti HP interessati dalle importanti informazioni di sicurezza contenute nel bollettino.HP consiglia a tutti gli utenti di stabilire l'applicabilità di queste informazioni alle loro situazioni individuali al fine di prendere le misure appropriate.HP non garantisce la precisione o la completezza di queste informazioni per l'utilizzo in tutte le situazioni e, di conseguenza, HP non è responsabile di qualsiasi danno derivante dall'utilizzo o dal mancato utilizzo delle informazioni fornite dal presente bollettino.Secondo quanto previsto dalla legge, HP non è responsabile di qualsiasi garanzia, incluse tutte le garanzie espresse e implicite e le condizioni di commerciabilità, di idoneità per uno scopo specifico, della titolarità e della violazione dei diritti altrui."

HP Inc. declina ogni responsabilità per eventuali omissioni ed errori tecnici o editoriali contenuti nel presente documento.Le informazioni vengono fornite "così come sono" senza garanzie di alcun tipo.Secondo quanto previsto dalla legge, né HP né le sue associate, subappaltatori o fornitori potranno essere ritenuti responsabili per qualsiasi danno incidentale, speciale o derivante compresi i costi per i tempi di inattività, perdita di profitti, danni imputabili a forniture di prodotti o servizi sostitutivi oppure a perdite di dati o ripristino di software.Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso.HP Inc. e i nomi dei prodotti HP sono marchi di HP Inc. negli Stati Uniti e in altri Paesi.I nomi degli altri prodotti e delle società qui riportati potrebbero essere marchi dei loro rispettivi proprietari.

hp-feedback-input-portlet

Azioni
Caricamento...

hp-feedback-banner-portlet

Azioni
Caricamento...

hp-country-locator-portlet

Azioni
Caricamento...
Paese/area geografica: Flag Italia

hp-detect-load-my-device-portlet

Azioni
Caricamento...