solution Contentsolution Content

ИНФОРМАЦИОННАЯ ПОДДЕРЖКА- SECURITY BULLETIN

Номер документа: c06543081

Версия: 1

HPSBGN03632, ред. 1 - Уязвимость программы установки HP SoftPaq

Внимание: Информация, содержащаяся в этом бюллетене безопасности, должна быть применена как можно скорее.

Дата выпуска : 21-Jan-2020

Последнее обновление : 21-Jan-2020

Возможное воздействие безопасности:
Выполнение произвольного кода, несанкционированное повышение уровня полномочий.
Источник: HP, HP Product Security Response Team (PSRT)
Автор: Пьер-Александр Бракен (Pierre-Alexandre Braeken); Эран Шимони (Eran Shimony)

РЕЗЮМЕ УЯЗВИМОСТЕЙ
В версии программы установки HP SoftPaq обнаружена потенциальная уязвимость системы безопасности, которая может привести к выполнению произвольного кода.
Номер
CVE-2019-16283, PSR-2018-0253, PSR-2019-0124.
ВЕРСИИ ПОДДЕРЖИВАЕМОГО ПО*: Перечислены ТОЛЬКО затронутые версии.
Пакеты HP SoftPaq для ОС Windows с оригинальным именем установочного файла stub32i.exe, версия 4.0.100.1189.
ДАННЫЕ
Для получения версии этого бюллетеня безопасности c подписью PGP напишите по адресу hp-security-alert@hp.com
Базовые показатели CVSS 3.0
Регистрационный номер
Базовый вектор
Базовый рейтинг
CVE-2019-16283
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
7.8
РЕШЕНИЕ
Компания HP изменяет компоновку уязвимых пакетов SoftPaq (SP#####.exe) и включает в них новую программу установки (HP Software Wrapper).
  • Переустановка программного обеспечения или драйверов, установленных с помощью уязвимых пакетов SoftPaq, не требуется, поскольку проблема связана с самой программой установки, а не с установленным программным обеспечением.
  • Компания HP рекомендует клиентам удалить уязвимые исполняемые файлы SoftPaq (SP#####.exe), чтобы исключить возможность использования уязвимости программ установки.
  • Клиентам, пользующимся локальным репозиторием пакетов SoftPaq, следует заменить уязвимые пакеты SoftPaq обновленными версиями.
Информацию о функциях новой оболочки можно найти в руководстве пользователя программы HP Software Wrapper.
Чтобы определить версию программы установки SoftPaq, выполните следующие действия:
  1. Откройте папку, в которой хранятся или в которую загружаются файлы SoftPaq.
  2. Щелкните правой кнопкой мыши на исполняемом файле SoftPaq (SP#####.exe).
  3. Выберите пункт Свойства.
  4. Выберите вкладку Подробно.
Пакеты SoftPaq с уязвимой программой установки можно определить по следующим атрибутам файла:
  • Исходное имя файла: stub32i.exe
  • Версия файла: 4.0.100.1189
  • Значок: Значок программы установки
Пакеты SoftPaq с новой программой установки можно определить по следующим атрибутам файла:
  • Исходное имя файла: hpsoftpaqwrapper.exe
  • Версия файла: 0.2.39.21874 или более поздняя
  • Значок: Значок с логотипом HP
Исправления безопасности от сторонних производителей: Исправления безопасности от сторонних производителей, устанавливаемые на системы, в которых используются программные продукты HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.
Поддержка: По вопросам о реализации рекомендаций, приведенных в этом бюллетене безопасности, посетите сайт https://www.hp.com/go/contacthp, где приведены возможные варианты поддержки HP.
Отчет: Чтобы сообщить о потенциальной уязвимости в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу: hp-security-alert@hp.com.
Подписка: Чтобы активировать подписку на получение будущих бюллетеней безопасности HP по электронной почте, зайдите на веб-страницу https://www.hp.com/go/alerts.
Архив бюллетеней безопасности: Чтобы просмотреть выпущенные бюллетени безопасности, выполните на Сайте технической поддержки HP поиск по словам "бюллетень безопасности".
Категория программных продуктов: Категория программных продуктов указывается в заголовке в виде двух букв после обозначения HPSB.
PI
Печать и формирование изображений HP
HF
Оборудование и микропрограммы HP
GN
Общее программное обеспечение HP
Настоятельно рекомендуется всю относящуюся к вопросам безопасности информацию, передаваемую в HP, шифровать с использованием PGP, в особенности сведения об уязвимостях.
Чтобы получить ключ предупреждения безопасности PGP, отправьте по электронной почте следующее сообщение:
Кому: hp-security-alert@hp.com
Тема: get key
Управление системами и процедуры безопасности должны часто проверяться для поддержания целостности системы. HP постоянно проверяет и совершенствует функции обеспечения безопасности программных продуктов, чтобы предоставлять клиентам современные безопасные решения.

"HP широко распространяет этот бюллетень по безопасности, чтобы привлечь внимание пользователей уязвимых продуктов к важной информации о безопасности, содержащейся в этом бюллетене. Компания HP рекомендует всем пользователям определить применимость этой информации для их конкретных ситуаций и принять соответствующие меры. HP не гарантирует, что эта информация обязательно является точной или полной для всех пользовательских ситуаций, и, следовательно, не будет нести ответственность за любой ущерб, возникший в результате использования пользователем или игнорирования информации, представленной в этом бюллетене. В пределах, допускаемых законом, HP отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности и пригодности для конкретной цели, права собственности и отсутствия нарушений."
История изменений : Версия 1: 20 января 2020 года - первый выпуск.

© Copyright 2023 HP Development Company, L.P.
HP Inc. не несет ответственность за технические или редакторские ошибки или упущения, содержащиеся в данном документе. Предоставленная информация предоставляется «как есть» без каких-либо гарантий. В пределах, допускаемых законом, ни HP, ни ее аффилированные лица, субподрядчики или поставщики не будут нести ответственность за случайные, специальные или косвенные убытки, включая стоимость простоя; упущенную прибыль; убытки, связанные с приобретением товаров или услуг-заменителей; убытки за потерю данных или восстановление программного обеспечения. Информация в этом документе может быть изменена без предварительного уведомления. Компания HP Inc. и названия продуктов HP, упомянутые в данном документе, являются товарными знаками HP Inc. в США и других странах. Названия других продуктов и компаний, упомянутые здесь, могут являться товарными знаками соответствующих владельцев.

Дополнительные способы связи со службой поддержки

Связаться с одним из наших специалистов службы поддержки

Введите тему для поиска в библиотеке знаний

Чем мы можем вам помочь?