Эскалация прав и несанкционированное изменение каталогов и файлов.
Отправитель отчета: Денни Вей (Danny Wei) из Xuanwu Lab, Tencent
ИНФОРМАЦИОННАЯ ПОДДЕРЖКА- БЮЛЛЕТЕНЬ БЕЗОПАСНОСТИ
Номер документа: c05666717
Версия: 1
HPSBGN03561 - Потенциальная эскалация прав в HP Support Assistant
Внимание: Информация, содержащаяся в этом бюллетене безопасности, должна быть применена как можно скорее.
Дата выпуска : 06-Sep-2017
Последнее обновление : 06-Sep-2017
Эта уязвимость позволяет злоумышленнику извлекать двоичные файлы в защищенные папки файловой системы.
CVE-2017-2744, PSR-2017-0056
HP Support Assistant, версия 8
Для получения версии этого бюллетеня безопасности, подписанной PGP, напишите по адресу: hp-security-alert@hp.com
Базовые метрики CVSS 3.0
|
Справочная информация
|
Базовый вектор
|
Базовая оценка
|
|
CVE-2017-2744
|
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
|
5,5
|
Сведения о CVSS документированы в "Уведомлении для клиента HP": HPSN2008002.
Были приняты серьезные меры, затрудняющие злоумышленнику возможность подмены файла, подписанного HP. Но, что важнее, были изменены опасные методы, которые были подвержены воздействиям и создавали возможность злоумышленных действий. Эти методы больше не позволяют злоумышленнику копировать файлы в любую папку компьютера. Папки, которые продолжают поддерживаться, являются каталогом приложения для HP Support Assistant. Следовательно, возможности воздействия у злоумышленника теперь сильно ограничены. Исправление, автоматически обновляющее клиенты HP Support Assistant, внося эти изменения, было выпущено 11 июля 2017. Это исправление применяется в версии 12.7.26.1 платформы, являющейся частью HP Support Assistant.
...
Исправления безопасности от сторонних производителей: Исправления безопасности от сторонних производителей, которые устанавливаются на системы, использующие программные продукты HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.
Поддержка. По вопросам о реализации рекомендаций, приведенных в этом бюллетене безопасности, посетите сайт
http://www.hp.com/go/contacthp, где приведены возможные варианты поддержки HP.
Отчет. Чтобы сообщить о потенциальной уязвимости системы безопасности в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу
hp-security-alert@hp.com.
Подписка. Чтобы активировать подписку на получение будущих бюллетеней безопасности HP по электронной почте, зайдите на веб-страницу
https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.
Архив бюллетеней безопасности. Чтобы просмотреть выпущенные бюллетени безопасности, выполните на
Сайте технической поддержки HP поиск по словам "бюллетень безопасности".
Категория программных продуктов: Категория программных продуктов указывается в заголовке в виде двух букв после обозначения HPSB.
|
PI
|
HP Printing and Imaging
|
|
HF
|
HP Hardware and Firmware
|
|
GN
|
HP General Software
|
Настоятельно рекомендуется всю относящуюся к вопросам безопасности информацию, передаваемую в HP, шифровать с использованием PGP, в особенности сведения об эксплойтах.
Чтобы получить ключ предупреждения безопасности PGP, отправьте по электронной почте следующее сообщение:
Кому:
hp-security-alert@hp.com
Тема: get key
Управление системами и процедуры безопасности должны часто проверяться для поддержания целостности системы. HP постоянно проверяет и совершенствует функции обеспечения безопасности программных продуктов, чтобы предоставлять клиентам современные безопасные решения.
"HP широко распространяет этот бюллетень по безопасности, чтобы привлечь внимание пользователей уязвимых продуктов к важной информации о безопасности, содержащейся в этом бюллетене. Компания HP рекомендует всем пользователям определить применимость этой информации для их конкретных ситуаций и принять соответствующие меры. HP не гарантирует, что эта информация обязательно является точной или полной для всех пользовательских ситуаций, и, следовательно, не будет нести ответственность за любой ущерб, возникший в результате использования пользователем или игнорирования информации, представленной в этом бюллетене. В пределах, допускаемых законом, HP отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности и пригодности для конкретной цели, права собственности и отсутствия нарушений."
История изменений :
Версия 1: первоначальная версия
© Copyright 2023 HP Development Company, L.P.
HP Inc. не несет ответственность за технические или редакторские ошибки или упущения, содержащиеся в данном документе. Предоставленная информация предоставляется «как есть» без каких-либо гарантий. В пределах, допускаемых законом, ни HP, ни ее аффилированные лица, субподрядчики или поставщики не будут нести ответственность за случайные, специальные или косвенные убытки, включая стоимость простоя; упущенную прибыль; убытки, связанные с приобретением товаров или услуг-заменителей; убытки за потерю данных или восстановление программного обеспечения. Информация в этом документе может быть изменена без предварительного уведомления. Компания HP Inc. и названия продуктов HP, упомянутые в данном документе, являются товарными знаками HP Inc. в США и других странах. Названия других продуктов и компаний, упомянутые здесь, могут являться товарными знаками соответствующих владельцев.
Дополнительные способы связи со службой поддержки
Введите тему для поиска в библиотеке знаний
Чем мы можем вам помочь?
Нужна помощь?