solution Contentsolution Content

ИНФОРМАЦИОННАЯ ПОДДЕРЖКА- SECURITY BULLETIN

Номер документа: c06464632

Версия: 1

HPSBGN03625 ред.1 - Выполнение произвольного кода в HP Touchpoint Analytics

Внимание: Информация, содержащаяся в этом бюллетене безопасности, должна быть применена как можно скорее.

Дата выпуска : 07-Oct-2019

Последнее обновление : 07-Oct-2019

Возможное воздействие безопасности:
Выполнение произвольного кода.
Источник: HP, Команда реагирования по безопасности продукта HP (PSRT)
Автор: Пелег Хадар (Peleg Hadar) (SafeBreach Labs)

РЕЗЮМЕ УЯЗВИМОСТЕЙ
В некоторых версиях HP Touchpoint Analytics (до версии 4.1.4.2827) была выявлена потенциальная уязвимость безопасности.
Эта уязвимость может позволить локальному злоумышленнику, обладающему административными правами, выполнить произвольный код с помощью системной службы HP Touchpoint Analytics.
Номер
CVE-2019-6333, PSR-2019-0143
ВЕРСИИ ПОДДЕРЖИВАЕМОГО ПО*: Перечислены ТОЛЬКО затронутые версии.
Список затрагиваемых продуктов см. в разделе "РЕШЕНИЕ ПРОБЛЕМ".
ДАННЫЕ
Для получения версии этого бюллетеня безопасности c PGP-подписью напишите по адресу hp-security-alert@hp.com
Базовые показатели CVSS 3.0
Обозначение
Базовый вектор
Базовая оценка
CVE-2019-6333
CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
6.7
Сведения о CVSS задокументированы в "Уведомлении для клиента HP": HPSN­2008­002.

Как определить, подвержено ли устройство этой уязвимости

Способ 1.
  1. На устройствах, работающих под управлением ОС Microsoft Windows 10, щелкните правой кнопкой мыши кнопку "Пуск" и выберите Диспетчер устройств.
  2. В диспетчере устройств разверните пункт Программные компоненты.
  3. Щелкните правой кнопкой мыши службу HP Device Health Service и выберите Свойства.
  4. В диалоговом окне Свойства щелкните Драйвер.
  5. В поле Версия драйвера приведена текущая версия драйвера HP Device Health Service. Если версия драйвера ниже 4.1.4.2827, выполните действия, приведенные в способе 1 раздела "Решение" этого документа.
Способ 2.
  1. На устройствах, работающих под управлением ОС Microsoft Windows, в меню поиска введите Панель управления.
  2. Щелкните Панель управления.
  3. На панели управления щелкните Программы, затем щелкните Удалить программу.
  4. На экране Программы и компоненты перейдите к пункту Клиент HP Touchpoint Analytics. Запишите версию. Если версия ниже 4.1.4.2827, выполните действия, изложенные в способе 2 раздела "Решение" данного документа.
РЕШЕНИЕ
Приведенные ниже варианты действий показывают, как определить, подвержено ли устройство данной уязвимости, а также как предпринять действия по устранению угрозы.
Способ 1.
  1. На устройствах, работающих под управлением ОС Microsoft Windows 10, щелкните правой кнопкой мыши кнопку "Пуск" и выберите Диспетчер устройств.
  2. В диспетчере устройств разверните пункт Программные компоненты.
  3. Щелкните правой кнопкой мыши службу HP Device Health Service и выберите Свойства.
  4. В открывшемся диалоговом окне Свойства щелкните Драйвер.
  5. В поле Версия драйвера приведена текущая версия драйвера HP Device Health Service. Запишите версию драйвера.
  6. Нажмите OK и закройте диспетчер устройств.
  7. Если версия драйвера ниже 4.1.4.2827:
    1. В меню поиска Windows введите Параметры.
    2. Щелкните Параметры.
    3. В окне "Параметры" щелкните Обновление и безопасность.
    4. На экране обновления Windows щелкните Проверить обновления.
  8. После установки обновлений на устройстве и появления сообщения Все обновлено повторите шаги 1 – 5, чтобы убедиться в том, что версия драйвера HP Device Health Service не ниже 4.1.4.2827.
Способ 2.
  1. На устройствах, работающих под управлением ОС Microsoft Windows, в меню поиска введите Панель управления.
  2. Щелкните Панель управления.
  3. На панели управления щелкните Программы, затем щелкните Удалить программу.
  4. На экране Программы и компоненты перейдите к пункту Клиент HP Touchpoint Analytics. Запишите версию.
  5. Если версия ниже 4.1.4.2827:
    1. В меню поиска Windows введите Администрирование.
    2. Щелкните Администрирование.
    3. В окне "Администрирование" дважды щелкните Планировщик задач.
    4. На центральной панели планировщика задач щелкните правой кнопкой мыши пункт Средство обновления TechPulse и выберите Выполнить в раскрывающемся меню.
Исправления безопасности от сторонних производителей: Исправления безопасности от сторонних производителей, устанавливаемые на системы, в которых используются программные продукты HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.
Поддержка: По вопросам о реализации рекомендаций, приведенных в этом бюллетене безопасности, посетите сайт https://www.hp.com/go/contacthp, где приведены возможные варианты поддержки HP.
Отчет: Чтобы сообщить о потенциальной уязвимости в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу: hp-security-alert@hp.com.
Подписка: Чтобы активировать подписку на получение будущих бюллетеней безопасности HP по электронной почте, зайдите на веб-страницу https://www.hp.com/go/alerts.
Архив бюллетеней безопасности: Чтобы просмотреть выпущенные бюллетени безопасности, выполните на Сайте технической поддержки HP поиск по словам "бюллетень безопасности".
Категория программных продуктов: Категория программных продуктов указывается в заголовке в виде двух букв после обозначения HPSB.
PI
Печать и формирование изображений HP
HF
Оборудование и микропрограммы HP
GN
Общее программное обеспечение HP
Настоятельно рекомендуется всю относящуюся к вопросам безопасности информацию, передаваемую в HP, шифровать с использованием PGP, в особенности сведения об уязвимостях.
Чтобы получить ключ предупреждения безопасности PGP, отправьте по электронной почте следующее сообщение:
Кому: hp-security-alert@hp.com
Тема: get key
Управление системами и процедуры безопасности должны часто проверяться для поддержания целостности системы. HP постоянно проверяет и совершенствует функции обеспечения безопасности программных продуктов, чтобы предоставлять клиентам современные безопасные решения.

"HP широко распространяет этот бюллетень по безопасности, чтобы привлечь внимание пользователей уязвимых продуктов к важной информации о безопасности, содержащейся в этом бюллетене. Компания HP рекомендует всем пользователям определить применимость этой информации для их конкретных ситуаций и принять соответствующие меры. HP не гарантирует, что эта информация обязательно является точной или полной для всех пользовательских ситуаций, и, следовательно, не будет нести ответственность за любой ущерб, возникший в результате использования пользователем или игнорирования информации, представленной в этом бюллетене. В пределах, допускаемых законом, HP отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности и пригодности для конкретной цели, права собственности и отсутствия нарушений."
История изменений : Версия: 1 – 04 октября 2019 г.: первоначальная версия

© Copyright 2023 HP Development Company, L.P.
HP Inc. не несет ответственность за технические или редакторские ошибки или упущения, содержащиеся в данном документе. Предоставленная информация предоставляется «как есть» без каких-либо гарантий. В пределах, допускаемых законом, ни HP, ни ее аффилированные лица, субподрядчики или поставщики не будут нести ответственность за случайные, специальные или косвенные убытки, включая стоимость простоя; упущенную прибыль; убытки, связанные с приобретением товаров или услуг-заменителей; убытки за потерю данных или восстановление программного обеспечения. Информация в этом документе может быть изменена без предварительного уведомления. Компания HP Inc. и названия продуктов HP, упомянутые в данном документе, являются товарными знаками HP Inc. в США и других странах. Названия других продуктов и компаний, упомянутые здесь, могут являться товарными знаками соответствующих владельцев.

Дополнительные способы связи со службой поддержки

Связаться с одним из наших специалистов службы поддержки

Введите тему для поиска в библиотеке знаний

Чем мы можем вам помочь?