solution Contentsolution Content

HP Security Manager 和 Web Jetadmin – 潜在的远程代码执行

在使用某些版本的 Microsoft SQL Server Express 时，HP Security Manager 和 Web Jetadmin 可能容易受到远程代码执行的攻击。

严重程度: 高
HP 参考资料: HPSBPI03856 修订版 1
发布日期: 2023 年 7 月 20 日
上次更新: 2023 年 7 月 20 日
类别: 打印解决方案
潜在的安全影响: 远程代码执行

滚动到“解决方法”部分

接收此公告的更新

CVE ID 列表
CVE ID	CVS 3.0	严重程度	矢量
CVE-2022-29143	7.5	高	CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2021-1636	8.8	高	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

参考资料

要了解有关潜在漏洞和现有安装的 Microsoft SQL 安全补丁的更多信息，请访问以下网页：

Microsoft SQL 服务器远程代码执行漏洞 (CVE-2022-29143)（英文）
Microsoft SQL 权限提升漏洞 (CVE-2021-1636)（英文）

解决方法

HP 已为下表所列的可能受影响产品提供了软件更新。

要获取更新的软件，请转到 HP Security Manager 和/或 HP Web Jetadmin 站点，然后使用您的 HP 帐户登录以访问下载信息表单。

注：

请查看以下缓解措施：

只有新安装的软件才会包含针对初始配置的修复。例如：新安装的 HPSM 3.10 将包括更新的 SQL Server Express 2022
现有的安装需要 Microsoft Corporation 提供的相关补丁或下面列出的产品的最新版本的新安装，以修复 SQL Express 漏洞。

受影响的产品和更新的软件

找到受影响的产品以及能够解决这些漏洞的软件版本。

受影响的产品
产品名称	更新的软件版本
HP Security Manager	3.10 或更高版本
HP Web Jetadmin	10.5 SR4 或更高版本

修订历史记录

本文档根据以下信息进行了修订。

版本列表
版本	说明	日期
1	初始发布	2023 年 7 月 20 日

其他信息

点击以下链接，了解其他信息。

第三方安全补丁: 在运行 HP 软件产品的系统上所安装的第三方安全补丁应符合客户的补丁管理策略。
支持: 如果对实施此安全公告的建议操作有任何问题，请访问 http://www.hp.com/go/contacthp，了解您的 HP 支持选项。
报告: 要报告有关 HP 支持的任何产品的潜在安全漏洞，请发送电子邮件到：hp-security-alert@hp.com。
订阅: 要启动订阅，以便通过电子邮件接收未来 HP 安全公告通知，请访问 https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile。
安全公告档案: 要查看已发布的安全公告，请访问 https://support.hp.com/security-bulletins。

强烈建议将与安全相关的信息传送到 HP，并采用 PGP 进行加密，尤其是开发信息。

下载 HP 安全警告 PGP 密钥

法律信息

必须经常审核系统管理和安全程序，保持系统完整性。惠普坚持审核并增强软件产品的安全特性，为客户提供最新的安全解决方案。

惠普广泛发布此安全公告，旨在让用户了解这其中关于受影响的惠普产品的重要安全信息。惠普建议所有用户确定这些信息是否适用于个人情况，并采取相应的措施。惠普无法保证这些信息在所有用户情况下都一定准确或完整，因此，对于因用户使用不当或忽略此安全公告中提供的信息而造成的任何损坏，惠普概不负责。在法律允许的范围内，惠普不作任何明示或暗示保证，包括适销性和特定用途适用性、所有权以及非侵权的保证。

HP Inc.（惠普）对本文中所包含的技术或编辑错误、遗漏概不负责。信息按“原样”提供，不存在任何形式的担保。在法律允许的范围内，惠普及其关联公司、转包方或供应商对各种由其造成的附带、特殊或间接损害负责，具体包括：停机成本；利润损失；与购买替代产品或服务相关的损害；或者数据丢失，或软件恢复。本文档中的信息如有更改，恕不另行通知。“HP Inc.”、“HP”和本文中引用的惠普产品名称是 HP Inc. 或其关联公司在美国和其他国家/地区的商标。本文提及的其他产品和公司名称均为其各自所有者的商标。