hp-support-head-portlet

Acciones
Cargando...

Bienvenido al Centro de Soporte al cliente HP

hp-contact-secondary-navigation-portlet

Acciones
Cargando...

hp-share-print-widget-portlet

Acciones
Cargando...

hp-concentra-wrapper-portlet

Acciones
Cargando...

SUPPORT COMMUNICATION- BOLETÍN DE SEGURIDAD

ID de documento: c03192968

Versión: 1

HPSBPI02698 SSRT100404 rev.2: software HP Easy Printer Care en Windows; ejecución remota de código arbitrario

Notice:: The information in this security bulletin should be acted upon as soon as possible.

Fecha de publicación : 08-Feb-2012

Última actualización : 20-Feb-2012

Potential Security Impact:
Ejecución remota de código arbitrario

Source:HP, HP Product Security Response Team (PSRT)

RESUMEN DE VULNERABILIDADES
Se ha detectado una posible vulnerabilidad de seguridad en el software HP Easy Printer Care en Windows. La vulnerabilidad se podría aprovechar de forma remota para escribir archivos arbitrarios en el sistema y ejecutarlos a través del explorador.
Número de referencia
CVE-2011-2404, ZDI-CAN-1092, CVE-2011-4786, ZDI-CAN-1093, CVE-2011-4787, ZDI-CAN-1117
VERSIONES DE SOFTWARE COMPATIBLES*: SOLO se incluyen las versiones afectadas.
Software HP Easy Printer Care Software v2.5 y anteriores para Windows XP y Vista. Este software de Windows puede utilizarse junto con los siguientes modelos de impresora Laser Jet y Color Laser Jet:
Laser Jet P1005 / P1006 / P1007 / P1008
Laser Jet 1010 / 1012 / 1015
Laser Jet P1102 / P1102w
Laser Jet M1120 / M1120n
Laser Jet Pro M1132 / M1134 / M1136 / M1137 / M1138 / M1139
Laser Jet 1150
Laser Jet 1160
Laser Jet Pro M1212nf / M1213nf / N1214nfh / M1216nfh / M1217nfw / M1219nf
Laser Jet 1300
Laser Jet 1320
Laser Jet P1505
Laser Jet 2100
Laser Jet 2200
Laser Jet 2300 / 2300L
Laser Jet 2410 / 2420 / 2430
Laser Jet 3015 Todo-en-Uno
Laser Jet 3020/3030 Todo-en-Uno
Laser Jet 3050Z Todo-en-Uno
Laser Jet 3380 Todo-en-Uno
Laser Jet M3035mfp
Laser Jet 4000
Laser Jet 4050
Laser Jet 4100
Laser Jet 4100mfp
Laser Jet 4200 / 4240 / 4250
Laser Jet 4300 / 4350
Laser Jet M4345mfp
Laser Jet 4345mfp
Laser Jet 5000
Laser Jet M5035mfp
Laser Jet 5100
Laser Jet 5200 / Laser Jet 5200L
Laser Jet 8000
Laser Jet 8000mfp
Laser Jet 8100 / 8150
Laser Jet 9000
Laser Jet 9000mfp / 9000Lmfp
Laser Jet 9040 / 9050
Laser Jet 9040mfp / 9050mfp / 9055mfp / 9065mfp
Color Laser Jet CP 1215 / 1217
Color Laser Jet CP 1514n / 1515n / 1518ni
Color Laser Jet 2500
Color Laser Jet 2550
Color Laser Jet 2820 / 2840 Todo-en-Uno
Color Laser Jet 3000*
Color Laser Jet 3500 / 3550
Color Laser Jet 3600
Color Laser Jet 3700
Color Laser Jet 3800*
Color Laser Jet4500
Color Laser Jet 4550
Color Laser Jet 4600 / 4610 / 4650
Color Laser Jet 4700*
Color Laser Jet 4730mfp*
Color Laser Jet 5500 / 5550
Color Laser Jet 8500
Color Laser Jet 8550
Color Laser Jet 9500
Color Laser Jet 9500mfp
ANTECEDENTES
Medidas de base CVSS 2.0
Referencia
Vector de base
Evaluación de base
CVE-2011-2404
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
CVE-2011-4786
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
CVE-2011-4787
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
7.5
La información sobre CVSS está incluida en el Aviso al cliente de HP: HPSN-2008-002
RESOLUCIÓN
El software HP Easy Printer Care v2.5 y anteriores para Windows XP y Vista ya no está disponible en HP. HP ya no da soporte al software HP Easy Printer Care.
HP recomienda la desinstalación de este software del sistema en cuanto sea posible.
El control ActiveX HPTicketMgr.dll que es vulnerable es CLSID 466576F3-19B6-4FF1-BD48-3E0E1BFB96E9. Si no se desinstala el software Easy Printer Care, HP recomienda establecer el bit de invalidación para el identificador de clase (CLSID) del control ActiveX vulnerable {466576F3-19B6-4FF1-BD48-3E0E1BFB96E9}. El bit de invalidación se establece mediante la modificación del valor de datos del valor DWORD de los indicadores de compatibilidad para el CLSID de este control ActiveX a 0x00000400. Se explica en el artículo KB240797 o posteriores de Microsoft. http://support.microsoft.com/kb/240797
HISTORIAL
Versión:1 (rev.1): 8 de agosto de 2011, publicación inicial
Versión:2 (rev.2): 11 de enero de 2012, se han agregado problemas de ZDI adicionales afectados en Easy Printer Care
Parches de seguridad de terceros: Los parches de seguridad de terceros que se instalen en sistemas que ejecutan productos de software de HP se deben aplicar según la política de gestión de parches del cliente.
Soporte: para obtener más información, póngase en contacto con el canal de soporte de Servicios HP estándar.
Informe: para informar de una posible vulnerabilidad de seguridad en cualquier producto con soporte técnico de HP, envíe un correo electrónico a: security-alert@hp.com
Suscripción: para suscribirse y recibir alertas de los boletines de seguridad de HP en el futuro, envíe un correo electrónico a: http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Categoría de productos de software: la categoría de productos de software está representada en el título por los dos caracteres que van después de HPSB.
3C = 3COM
3P = Software de terceros
GN = Software general de HP
HF = Hardware y firmware de HP
MP = MPE/iX
MU = Software multiplataforma
NS = Servidores NonStop
OV = OpenVMS
PI = Impresión y creación de imágenes
PV = ProCurve
ST = Software de almacenamiento
TU = Tru64 UNIX
UX = HP-UX
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restorationThe information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.

hp-feedback-input-portlet

Acciones
Cargando...

hp-online-communities-portlet

Acciones
Cargando...

Pregunta a la comunidad


Foro de asistencia

Foro de asistencia

Únase a la conversación. Busque soluciones, pregunte y comparta consejos con otros propietarios de productos HP. Visite el sitio ahora


hp-feedback-banner-portlet

Acciones
Cargando...

hp-country-locator-portlet

Acciones
Cargando...
País: Flag Puerto Rico

hp-detect-load-my-device-portlet

Acciones
Cargando...