solution Contentsolution Content

Múltiplas vulnerabilidades no Assistente de Suporte HP

Potenciais vulnerabilidades de segurança foram identificadas no HP Support Assistant. Essas vulnerabilidades incluem escalonamento de privilégios, comprometimento da integridade, comunicação permitida com clientes não confiáveis e modificação não autorizada de arquivos.

Gravidade

Alta

Referência HP

HPSBGN03762 Rev. 2

Data de lançamento

21 de janeiro de 2022

Última atualização

25 de janeiro de 2022

Categoria

Assistente de Suporte HP

Possível impacto na segurança

Escalonamento de Privilégios, Perda de Integridade, Comunicação Permitida com Clientes Não Confiáveis, Modificação Não Autorizada de Arquivos

Lista Vulnerabilidades e exposições comuns (CVE) relevante

PSR-2021-0077, CVE-2022-23453 (Ammarit Thongthua e Sitthinut Haruanpuach - equipe de pesquisa Secure D), PSR-2021-0090, CVE-2022-23454 (Ammarit Thongthua e Chayanin Khawsanit - equipe de pesquisa Secure D), PSR-2021-0091, CVE-2022-23455 (Ammarit Thongthua e Chayanin Khawsanit - equipe de pesquisa Secure D), PSR-2021-0103, CVE-2022-23456 (Ammarit Thongthua, Chayanin Khawsanit, e Krischat Thataristorai -equipe de pesquisa Secure D), PSR-2020-0083, CVE-2020-6917 (Jake Valletta e Rod Deichler, FireEye/Mandiant), CVE-2020-6918 (Jake Valletta e Rod Deichler, FireEye/Mandiant), CVE-2020-6919 (Jake Valletta e Rod Deichler, FireEye/Mandiant), CVE-2020-6920 (Jake Valletta e Rod Deichler, FireEye/Mandiant), CVE-2020-6921 (Jake Valletta e Rod Deichler, FireEye/Mandiant), CVE-2020-6922 (Jake Valletta e Rod Deichler, FireEye/Mandiant)

Lista de IDs de CVE

ID de CVE

CVS 3.0

Gravidade

Vetor

CVE-2022-23453

7.8

Alta

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2022-23454

7,8

Alta

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2022-23455

7,8

Alta

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2022-23456

7,8

Alta

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2020-6917

7,2

Alta

CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

CVE-2020-6918

6,9

Média

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

CVE-2020-6919

6,9

Média

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

CVE-2020-6920

5,0

Média

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

CVE-2020-6921

6,9

Média

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

CVE-2020-6922

6,9

Média

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Saiba mais sobre a métrica básica CVSS 3.0, que varia de 0 a 10.

PSR-2021-0077, PSR-2021-0090, PSR-2021-0091, PSR-2021-0103, PSR-2020-0083

Resolução

A HP empenha-se em lidar com todos os problemas de segurança com o Assistente de Suporte HP na melhor velocidade possível e disponibiliza a versão mais recente disponível com as correções. A HP recomenda que os clientes atualizem para a versão mais recente do Assistente de Suporte HP, que inclui correções para os problemas listados acima, ativando as atualizações automáticas nas configurações do Assistente de Suporte HP. Se o sistema tiver a versão 8x do Assistente de Suporte HP, a HP aconselha que os clientes atualizem para a versão 9 do Assistente de Suporte HP consultando a seção Sobre e verificando se há atualizações. Se o sistema tiver o Assistente de Suporte HP versão 9, a HP recomenda manter as atualizações da loja MS ativadas para que o aplicativo esteja sempre atualizado.

Opcionalmente, os clientes também podem obter a versão mais recente em https://www.hp.com/go/hpsupportassistant.

A HP recomenda manter seu sistema atualizado com o firmware e o software mais recentes.

Nota:

Este boletim pode ser atualizado quando novas informações e/ou SoftPaqs estiverem disponíveis. Inscreva-se no HP Subscriptions para ser notificado e receber:

  • eAlerts de suporte ao produto

  • Atualizações de driver

  • Atualizações do boletim de segurança

Versões do software compatíveis

Versões anteriores à 9.11 do Assistente de Suporte HP.

Histórico de revisão

Este documento foi revisado de acordo com as informações abaixo.

Lista de versões

Versão

Descrição

Data

2

Texto da lista de Vulnerabilidades e Exposições Comuns Relevantes (CVE) adicionado.

25 de janeiro de 2022

1

Versão inicial

22 de janeiro de 2022

Informações adicionais

Para obter mais informações, clique nestes links.

Patches de segurança de terceiros

Os patches de segurança de terceiros que devem ser instalados em sistemas que estejam executando algum software HP devem ser aplicados de acordo com a política de gerenciamento de patches do cliente.

Suporte

Em caso de problemas na implementação das recomendações deste boletim de segurança, para saber mais sobre as opções de suporte da HP, acesse http://www.hp.com/go/contacthp.

Relatório

Para comunicar uma vulnerabilidade potencial de segurança de qualquer produto com suporte da HP, envie um e-mail para: hp-security-alert@hp.com.

Assinar

Para assinar e receber futuros alertas dos boletins de segurança da HP por e-mail, acesse https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.

Arquivo de Boletins de segurança

Para visualizar os Boletins de segurança lançados, acesse https://support.hp.com/security-bulletins.

É altamente recomendável criptografar com PGP as informações relacionadas à segurança comunicadas à HP, especialmente informações sobre explorações.

Baixe a chave PGP de alerta de segurança da HP

Informações legais

Os procedimentos de gerenciamento e de segurança do sistema devem ser revistos com frequência para manter a integridade do sistema. A HP está continuamente revisando e aprimorando os recursos de segurança de produtos de software para fornecer aos clientes soluções seguras recentes.

A HP está distribuindo amplamente este Boletim de segurança para chamar a atenção dos usuários dos produtos HP afetados para as importantes informações de segurança contidas neste documento. A HP recomenda que todos os usuários façam uso destas informações para cada caso e tomem as medidas necessárias. A HP não garante que estas informações sejam precisas ou completas para todas as situações do usuário e, consequentemente, a HP não se responsabiliza por quaisquer danos resultantes do uso por parte do usuário nem pela desconsideração de informações fornecidas neste boletim. Na medida do permitido por lei, a HP se isenta de todas e quaisquer garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico, título e não violação.

© Copyright 2022 HP Development Company, L.P.

A HP Inc. (HP) não será responsabilizada por erros técnicos e editoriais ou omissões contidas neste documento. As informações aqui contidas são fornecidas “no estado em que se encontram”, sem garantias de qualquer tipo. Na medida do permitido por lei, nem a HP nem suas afiliadas, subcontratados ou fornecedores serão responsáveis por danos incidentais, especiais ou consequenciais, incluindo custos de paralisação; perda de lucros; danos relacionados ao processo de produtos ou serviços substitutos; ou perda de dados ou restauração de software. As informações apresentadas neste documento estão sujeitas a alteração sem aviso. “HP Inc.”, “HP” e os nomes dos produtos HP aqui consultados são marcas comerciais da HP Inc. ou dos seus membros nos Estados Unidos e em outros países. Outros nomes de produtos e empresas mencionados aqui podem ser marcas comerciais dos seus respectivos proprietários.