hp-support-head-portlet

조치
로드 중...
HP 고객 지원 - 지식 기반

hp-contact-secondary-navigation-portlet

조치
로드 중...

hp-share-print-widget-portlet

조치
로드 중...

hp-concentra-wrapper-portlet

조치
로드 중...

SUPPORT COMMUNICATION- SECURITY BULLETIN

서류 ID: c06928011

버전: 1

HPSBHF03689 개정 2 - HP Device Manager 취약한 암호 구현, 원격 메소드 호출 및 권한 상승

Notice:: The information in this security bulletin should be acted upon as soon as possible.

발매 날짜 : 01-Oct-2020

최종 수정일 : 01-Oct-2020

Potential Security Impact:
사전 공격, 리소스에 대한 권한이 없는 원격 액세스, 권한 상승에 취약합니다.
소스: HP, HP 제품 보안 대응팀(PSRT)
보고자: Nick Bloor

취약성 요약
특정 버전의 HP Device Manager에 대한 잠재적인 취약점이 발견되었습니다. 이러한 취약점을 통해 HP Device Manager 내에서 로컬로 관리되는 계정은 취약한 암호 구현(CVE-2020-6925)으로 인해 사전 공격에 취약해질 수 있으며 악의적인 행위자가 원격으로 리소스에 무단 액세스(CVE-2020-6926) 및/또는 악의적인 행위자가 시스템 권한(CVE-2020-6927)을 얻게 해줍니다.
CVE-2020-6925는 Active Directory 인증 계정을 사용하는 고객에게 영향을 주지 않습니다.
CVE-2020-6927은 외부 데이터베이스(Microsoft SQL Server)를 사용하고 통합 Postgres 서비스를 설치하지 않은 고객에게는 영향을 주지 않습니다.
참조 번호
CVE-2020-6925, CVE-2020-6926, CVE-2020-6927, PSR-2020-0174
지원 소프트웨어 버전*: 영향받는 버전만을 열거합니다.
CVE ID
잠재적 취약점
영향을 받는 버전
CVE-2020-6925
취약 암호
HP Device Manager의 모든 버전
CVE-2020-6926
원격 메소드 호출
HP Device Manager의 모든 버전
CVE-2020-6927
권한 상승 문제
HP Device Manager 5.0.0
HP Device Manager 5.0.1
HP Device Manager 5.0.2
HP Device Manager 5.0.3
배경
이 보안 공지에 대한 PGP 인증 버전은 hp-security-alert@hp.com으로 연락하십시오
CVSS 3.0 기본 메트릭스
참조 번호
기본 벡터
기본 스코어
CVE-2020-6925
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
7.0
CVE-2020-6926
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9.9
CVE-2020-6927
AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
8.0
해결
HP는 HP Device Manager에 대한 업데이트를 제공하기 위해 문제를 인식하고 적극적으로 노력합니다. 이 업데이트 사항이 제공되면 해당 게시판도 함께 업데이트됩니다.
중간에 고객은 다음 방법 중 하나를 통해 이 문제를 부분적으로 줄일 수 있습니다.
  • 수신 액세스를 장치 관리자 포트 1099 및 40002에서 신뢰할 수 있는 IP 또는 localhost 전용으로 제한.
  • Postgres 데이터베이스에서 dm_postgres 계정을 제거합니다. 또는
  • HP Device Manager 구성 관리자에서 dm_postgres 계정 암호를 업데이트합니다. 또는
  • Windows 방화벽 구성에서 localhost 액세스만을 위해 PostgreSQL 수신 포트(40006)를 구성하는 인바운드 규칙을 만듭니다.
제품
업데이트됨
HP Device Manager 5.0
HP Device Manager 4.7
출시: HP Device Manager 4.7 서비스 팩 13
타사 보안 패치: HP 소프트웨어 제품을 실행하는 시스템에 설치될 타사 제공 보안 패치는 고객의 패치 관리 정책에 따라 적용되어야 합니다.
지원: 이 보안 공지의 권장 사항 시행에 대한 문제는 https://www.hp.com/go/contacthp에서 HP 지원 옵션에 대해 알아보십시오.
보고: HP 지원 제품의 잠재적 보안 취약점을 발견하신 경우 다음 주소로 이메일을 보내주시기 바랍니다. hp-security-alert@hp.com.
구독신청: 이메일을 통해 향후 HP 보안 공지 알림을 받기로 구독을 신청하려면 https://www.hp.com/go/alerts를 방문하십시오.
보안 공지 아카이브: 배포된 보안 공지를 보려면 HP 지원 사이트에서 "보안 공지"를 검색합니다.
소프트웨어 제품 카테고리: HPSB 뒤의 두 글자는 소프트웨어 제품 카테고리를 나타냅니다.
PI
HP 프린팅 및 이미징
HF
HP 하드웨어 및 펌웨어
GN
HP 일반 소프트웨어
HP에 전달되는 보안 관련 정보, 특히 익스플로잇(exploit) 공격 대상 정보의 전달은 PGP를 이용한 암호화를 사용하는 것이 가장 좋습니다.
보안 경고 PGP 키를 받으려면 아래 주소로 이메일 메시지를 보내주십시오.
받는 사람: hp-security-alert@hp.com
제목: 키 받기
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."
수정 이력 : 버전 1: 2020년 9월 28일 - 초기 릴리스. 버전 2: 2020년 9월 29일 - 완화 업데이트.

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restoration.The information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.

hp-feedback-input-portlet

조치
로드 중...

hp-feedback-banner-portlet

조치
로드 중...

hp-country-locator-portlet

조치
로드 중...
국가/지역: Flag 한국

hp-detect-load-my-device-portlet

조치
로드 중...