hp-support-head-portlet

Azioni
Caricamento...

Benvenuti nell'Assistenza clienti HP

hp-contact-secondary-navigation-portlet

Azioni
Caricamento...

hp-share-print-widget-portlet

Azioni
Caricamento...

hp-concentra-wrapper-portlet

Azioni
Caricamento...

COMUNICAZIONE DI SUPPORTO- BOLLETTINO SULLA SICUREZZA

ID documento: c05666715

Versione: 1

HPSBGN03561 - Potenziale escalation di privilegi di HP Support Assistant

AVVISO:: Le informazioni contenute nel presente bollettino devono essere applicate il più presto possibile.

Data di rilascio : 06-Sep-2017

Ultimo aggiornamento : 08-Sep-2017

Potenziale impatto sulla sicurezza:
Escalation dei privilegi e modifiche non autorizzate directory o i file.
Segnalato da: Danny Wei di Xuanwu Lab del Tencent

Fonte:HP, HP Product Security Response Team (PSRT)

RIEPILOGO VULNERABILITÀ
La vulnerabilità consente all’utente malintenzionato di estrarre i codici binari nei file protetti di sistema.
Numero di riferimento
CVE-2017-2744, PSR-2017-0056
VERSIONI SOFTWARE SUPPORTATE*: sono riportate SOLO le versioni interessate.
HP Support Assistant versione 8
INFORMAZIONI DI BASE
Per una versione PGP firmata del presente bollettino sulla sicurezza, scrivere a: hp-security-alert@hp.com
Metrica di base CVSS 3.0
Riferimento
Vettore di base
Punteggio di base
CVE-2017-2744
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
5,5
Le informazioni relative a CVSS sono documentate nell’avviso ai clienti HP: HPSN­2008­002.
RISOLUZIONE
Sono state inserite delle forti misure che rendono difficile per un utente malintenzionato sostituire un file con firma di HP. Tuttavia, e soprattutto, i metodi pericolosi che erano stati esposti e superati sono stati modificati. Questi metodi non consentono più a un utente malintenzionato di copiare file su qualsiasi posizione sul computer. Le posizioni che sono ancora supportate sono la directory dell’applicazione di HP Support Assistant. Pertanto, l’impatto che può avere un utente malintenzionato è fortemente limitata. L’11 luglio 2017 è stata rilasciata una patch che aggiorna automaticamente i client di HP Support Assistant con queste modifiche. Questa patch viene applicata nella versione 12.7.26.1 del Framework che fa parte di HP Support Assistant.
...
Patch di sicurezza di terze parti: le patch di sicurezza di terze parti da installare su sistemi che eseguono prodotti software HP devono essere applicate in base ai criteri di gestione patch del cliente.
Supporto: per problemi riguardanti l’implementazione delle raccomandazioni del presente Bollettino sulla sicurezza, contattare il normale canale di Assistenza clienti HP. Per altri problemi riguardanti il contenuto del presente Bollettino sulla sicurezza, inviare un’e-mail all’indirizzo hp-security-alert@hp.com.
Segnalazione: per segnalare una potenziale vulnerabilità della protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: hp­security­alert@hp.com.
Abbonamento: Per attivare un abbonamento per ricevere futuri avvisi e Bollettini sulla sicurezza HP via e-mail, visitare il sito https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.
Archivio dei Bollettini sulla sicurezza: Per visualizzare i Bollettini sulla sicurezza pubblicati, cercare “bollettino sulla sicurezza” sul sito dell’Assistenza clienti HP.
Categoria di prodotti software: la categoria di prodotti software è rappresentata nel titolo dai due caratteri che seguono HPSB.
PI
HP Printing and Imaging
HF
HP Hardware and Firmware
ST
HP Storage Software
GN
HP General Software
Supporto: per ulteriori informazioni, contattare il normale canale di assistenza di HP.
Segnalazione: per segnalare una potenziale vulnerabilità della protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: hp-security-alert@hp.com.
Si consiglia vivamente di comunicare ad HP le informazioni relative alla sicurezza in forma crittografata utilizzando PGP, in particolare le informazioni di utilizzo.
Per ottenere la chiave del messaggio di protezione PGP, inviare un’e-mail come indicato di seguito:
Oggetto: get key
La gestione del sistema e le procedure di sicurezza devono essere analizzate frequentemente per mantenere l'integrità del sistema. HP rivede e ottimizza continuamente le funzionalità di protezione dei prodotti software per fornire ai propri clienti le soluzioni più aggiornate e sicure.

"HP distribuisce il presente bollettino al fine di portare l'attenzione degli utenti sui prodotti HP interessati dalle importanti informazioni di sicurezza contenute nel bollettino.HP consiglia a tutti gli utenti di stabilire l'applicabilità di queste informazioni alle loro situazioni individuali al fine di prendere le misure appropriate.HP non garantisce la precisione o la completezza di queste informazioni per l'utilizzo in tutte le situazioni e, di conseguenza, HP non è responsabile di qualsiasi danno derivante dall'utilizzo o dal mancato utilizzo delle informazioni fornite dal presente bollettino.Secondo quanto previsto dalla legge, HP non è responsabile di qualsiasi garanzia, incluse tutte le garanzie espresse e implicite e le condizioni di commerciabilità, di idoneità per uno scopo specifico, della titolarità e della violazione dei diritti altrui."
CRONOLOGIA REVISIONI : Versione 1: Release iniziale

HP Inc. declina ogni responsabilità per eventuali omissioni ed errori tecnici o editoriali contenuti nel presente documento.Le informazioni vengono fornite "così come sono" senza garanzie di alcun tipo.Secondo quanto previsto dalla legge, né HP né le sue associate, subappaltatori o fornitori potranno essere ritenuti responsabili per qualsiasi danno incidentale, speciale o derivante compresi i costi per i tempi di inattività, perdita di profitti, danni imputabili a forniture di prodotti o servizi sostitutivi oppure a perdite di dati o ripristino di software.Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso.HP Inc. e i nomi dei prodotti HP sono marchi di HP Inc. negli Stati Uniti e in altri Paesi.I nomi degli altri prodotti e delle società qui riportati potrebbero essere marchi dei loro rispettivi proprietari.

hp-feedback-input-portlet

Azioni
Caricamento...

hp-online-communities-portlet

Azioni
Caricamento...

Chiedi alla community!


Forum dell'assistenza

Forum dell'assistenza

Partecipa alla conversazione. Trova soluzioni, poni domande e condividi suggerimenti con altri possessori di prodotti HP. Visita ora


hp-feedback-banner-portlet

Azioni
Caricamento...

hp-country-locator-portlet

Azioni
Caricamento...
Paese: Flag Italia

hp-detect-load-my-device-portlet

Azioni
Caricamento...