Служба поддержки клиентов HP - База знаний

hp-contact-secondary-navigation-portlet

Действия
Загрузка...
  • Информация

    Устраните проблемы с компьютерами и принтерами HP, связанные с обновлением Windows 10. Нажмите сюда

    Информация
    Узнайте, как перейти на Windows 11

    Руководство по обновлению Windows 11

  • Оставить отзыв

Несанкционированное повышение привилегий в ОС HP ThinPro Linux

Во всех версиях ОС HP ThinPro обнаружена потенциальная уязвимость системы безопасности, известная как PwnKit. Она может привести к локальному несанкционированному повышению привилегий.

Степень серьезности

Высокая

Регистрационный номер HP

HPSBHF03777 ред.1

Дата выпуска

3 марта 2022 г.

Последнее обновление

3 марта 2022 г.

Категория

ПК

Потенциальное влияние на безопасность

Несанкционированное повышение привилегий

Сводная информация

Polkit (ранее известный как PolicyKit) является программным пакетом, входящим во все версии ОС HP ThinPro. В PolKit была обнаружена уязвимость, которая допускает доступ непривилегированного пользователя к терминалу или виртуальной консоли для получения прав root (администратора). Конфигурация ОС HP ThinPro по умолчанию не позволяет пользователю получить доступ к терминалу или виртуальной консоли.

Компания HP выпускает исправление для ОС HP ThinPro 7.2, чтобы устранить эту проблему. Компания HP рекомендует всем клиентам выполнить обновление до последней версии HP ThinPro 7.2 с пакетом исправлений 8 (SP8) и применить это исправление.

Список связанных распространенных уязвимостей (CVE)

Список идентификаторов CVE

Идентификатор CVE

Базовый рейтинг

Базовый вектор

CVE-2021-4034

7.8

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Узнайте подробнее о базовых метриках CVSS 3.1 с диапазоном значений от 0 до 10.

PSR-2022-0016

Устранение уязвимостей

Пользователям, которым не удается обновиться до HP ThinPro 7.2 и применить исправление, необходимо выполнить следующие действия для устранения доступа к терминалу или виртуальной консоли непривилегированных пользователей.

  1. Нажмите меню Пуск, выберите Переключатель режима администратора/пользователя и переключитесь в режим АДМИН.

  2. Введите пароль администратора.

  3. Выберите меню Пуск, затем перейдите в Центр настроек.

  4. Перейдите на вкладку Приложения.

  5. В разделе Выберите авторизованные приложения снимите флажок Терминал X.

  6. Нажмите Применить.

  7. Выберите меню Пуск, затем выберите Диспетчер SSHD.

  8. Снимите флажок Включить неадминистративный доступ через безопасную оболочку.

  9. Нажмите Применить.

  10. Закройте все окна.

  11. Выберите меню Пуск, выберите Переключатель режима администратора/пользователя, затем переключитесь обратно в режим ПОЛЬЗОВАТЕЛЬ.

Решение

Несмотря на то, что конфигурация по умолчанию не является уязвимой, HP выпускает исправление, содержащее самые актуальные компоненты Polkit, которое способно устранить эту уязвимость.

Исправление можно загрузить со следующего сайта:

https://ftp.hp.com/pub/tcdebian/updates/Security/CVE-2021-4034/ThinPro7.2_SP-9.0.5252.xar

Пакет исправлений 9 для Thin Pro 7.2 будет содержать это исправление и станет доступным в конце марта.

Прим.:

Этот бюллетень может обновляться по мере доступности новых сведений.

Для подтверждения успешной установки исправления, выполните следующую процедуру.

  1. Нажмите меню Пуск, выберите Переключатель режима администратора/пользователя и переключитесь в режим АДМИН.

  2. Введите пароль администратора.

  3. Выберите мен.ю Пуск, затем Терминал X.

  4. В терминале введите dpkg -l policykit-1.

    Если указана версия не менее 0.105-20ubuntu0.18.04.6, исправление успешно применено.

  5. Введите exit.

  6. Выберите меню Пуск, выберите Переключатель режима администратора/пользователя, затем переключитесь обратно в режим ПОЛЬЗОВАТЕЛЬ.

Затрагиваемые продукты

Определите затрагиваемые продукты.

Затрагиваемые продукты

Название продукта

Версия пакета исправлений

HP Thin Pro

Версии до 7.2 с пакетом исправлений 8 (SP8)

История изменений

Содержание этого документа было изменено в соответствии с приведенной ниже информацией.

Список версий

Версия

Описание

Дата

1

Первоначальный выпуск

3 марта 2022 г.

Дополнительная информация

Для получения дополнительной информации перейдите по следующим ссылкам.

Исправления для системы безопасности от сторонних производителей

Исправления для системы безопасности от сторонних производителей, которые устанавливаются на системы с программными продуктами HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.

Поддержка

При возникновении вопросов о применении рекомендаций, приведенных в этом бюллетене по безопасности, перейдите по адресу http://www.hp.com/go/contacthp, чтобы узнать о возможных вариантах поддержки HP.

Передача информации

Чтобы сообщить о потенциальной уязвимости системы безопасности в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу hp-security-alert@hp.com.

Подписка

Чтобы активировать подписку для получения оповещений о будущих бюллетенях HP по безопасности по электронной почте, перейдите по адресу https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.

Архив бюллетеней по безопасности

Чтобы ознакомиться с выпущенными бюллетенями по безопасности, перейдите по ссылке https://support.hp.com/security-bulletins.

Настоятельно рекомендуется шифровать всю передаваемую в HP информацию, относящуюся к вопросам безопасности, с использованием PGP, в особенности сведения об эксплойтах.

Загрузить ключ PGP HP для передачи информации об уязвимостях системы безопасности

Правовая информация

Для поддержания целостности системы необходимо регулярно пересматривать процедуры по управлению системой и обеспечению ее безопасности. Компания HP постоянно пересматривает и улучшает функции обеспечения безопасности своих программных продуктов, чтобы представить пользователям самые актуальные решения по обеспечению безопасности.

Компания HP максимально широко распространяет этот бюллетень по безопасности, чтобы обратить внимание пользователей затрагиваемых устройств HP на содержащиеся в нем важные сведения о безопасности. Компания HP рекомендует всем пользователям оценить, насколько эта информация применима к их ситуации, и предпринять соответствующие действия. Компания HP не гарантирует точное или полное соответствие этой информации всем пользовательским ситуациям и, следовательно, не несет ответственности за любой ущерб, причиненный в результате использования либо игнорирования информации, приведенной в этом бюллетене. В пределах, допустимых законодательством, компания HP отказывается от всех гарантий, выраженных явно или подразумеваемых, включая гарантии товарной пригодности, соответствия определенным целям использования, права собственности и отсутствия нарушения авторских прав.

© HP Development Company, L.P., 2022.

Компания HP Inc. (HP) не несет ответственности за любые содержащиеся в данном документе технические или редакторские ошибки или упущения. Предлагаемая информация предоставляется "как есть" без каких-либо гарантий. В пределах, разрешенных законодательством, ни компания HP, ни ее аффилированные лица, ни субподрядчики или поставщики не несут ответственности за случайные, специальные или сопутствующие убытки, включая издержки в результате простоя; упущенную выгоду; убытки, связанные расходованием средств на замену продуктов или услуг; или убытки, понесенные в результате потери данных или восстановления программного обеспечения. Сведения, приведенные в этом документе, могут быть изменены без дополнительного уведомления. "HP Inc.", "HP" и названия продуктов HP, упомянутые в этом документе, являются товарными знаками компании HP Inc. или ее аффилированных лиц в США и других странах. Другие указанные здесь названия продуктов и компаний являются товарными знаками соответствующих владельцев.



Страна/регион: Flag Казахстан

hp-detect-load-my-device-portlet

Действия
Загрузка...