HPSBGN03632 修訂版 1 - HP SoftPaq 安裝程式漏洞

潛在安全性影響：

執行任意代碼、權限提升。

來源：HP、HP 產品安全性回應小組 (PSRT)

報告者：Pierre-Alexandre Braeken；Eran Shimony

弱點摘要

HP Softpaq 安裝程式的一個版本中已發現潛在的安全漏洞，從而導致執行任意代碼。

參考編號

CVE-2019-16283、PSR-2018-0253、PSR-2019-0124。

獲支援軟件版本*：僅列出受影響版本。

基於 Windows 的 HP Softpaq 使用原始安裝檔案名 stub32i.exe，版本 4.0.100.1189。

背景

如需此安全性公告的 PGP 簽署版本，請傳送電子郵件至：hp-security-alert@hp.com

CVSS 3.0 基本指標

參考	基本向量	基本評分
CVE-2019-16283	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	7.8

解決方案

HP 將使用新的安裝程式 (HP 軟體包裝函式) 重新包裝受影響的 Softpaq (SP#####.exe)。

透過受影響的 Softpaq 安裝的軟體或驅動程式無需重新安裝 - 問題在於安裝程式本身，而不是已安裝的軟體。
HP 建議客戶刪除受影響的 SoftPaq 可執行檔 (SP#####.exe)，以便無法利用易受攻擊的安裝程式。
維護本地 SoftPaq 存放庫的客戶應使用更新版本替換受影響的 Softpaq。

在 HP 軟體包裝函式使用者指南中可以找到新包裝函式上的功能資訊。

若要識別 SoftPaq 安裝程式版本：

開啟儲存或下載 SoftPaq 檔的資料夾。
以滑鼠右鍵按一下 SoftPaq 可執行檔 (SP#####.exe)。
選取內容。
按一下詳細資料索引標籤。

帶有受影響的安裝程式的 Softpaq 可透過以下檔案屬性進行識別：

原始檔案名：stub32i.exe
檔案版本：4.0.100.1189
圖示：

帶有新安裝程式的 Softpaq 可透過以下檔案屬性進行識別：

原始檔案名：hpsoftpaqwrapper.exe
檔案版本：0.2.39.21874 或更新版本
圖示：

協力廠商安全性修正程式：應根據客戶的修正程式管理原則，套用要在執行 HP 軟體產品的系統上安裝的協力廠商安全性修正程式。

支援：如有實施此安全性公告建議的相關問題，請造訪 https://www.hp.com/go/contacthp 以瞭解有關 HP 支援選項的資訊。

報告：若要報告任何 HP 支援產品的潛在安全性漏洞，請傳送電子郵件至： hp-security-alert@hp.com。

訂閱：若要開始訂閱以便透過電子郵件接收日後發佈的「HP Security 公告」警示，請造訪 https://www.hp.com/go/alerts。

安全性公告歸檔：若要檢視發行的安全性公告，請搜尋 HP 支援網站的「安全性公告」。

軟體產品類別：標題中的「軟體產品類別」以 HPSB 之後的兩個字元表示。

PI	HP 列印和影像處理
HF	HP 硬體和韌體
GN	HP 通用軟體

強烈建議使用 PGP，將提供給 HP 的安全性相關資訊加密，尤其是重要資訊。

若要取得安全性警示 PGP 金鑰，請傳送如下的電子郵件訊息：

收件者： hp-security-alert@hp.com

主旨：取得金鑰

您必須時常檢視系統管理及安全措施，以維持系統穩定。為了提供客戶最新、最安全的解決方案，HP 將會持續檢視並加強軟體產品的安全性。

"我們亦將廣為流傳此 Security Bulletin，以使受影響的 HP 產品用戶更加注意本文所列的重要保安資訊。 HP 建議所有用戶自行根據實際情況判斷這些資訊的適用性，並且採取適當的措施。 HP 並不保證這些資訊的精確性及完整性適用於所有用戶，因此 HP 對於用戶因採用或忽視本文件內的資訊而造成的損害概不負責。在相關法律所允許之最大範圍內，HP 不承擔任何瑕疵責任擔保，不論其為明示或默示者，其中包括適售性、適合某特定用途以及不侵害他人權益之擔保責任。"

修訂歷程記錄 : 版本 1：2020 年 1 月 20 日初始發行。

支援通訊- SECURITY BULLETIN

HPSBGN03632 修訂版 1 - HP SoftPaq 安裝程式漏洞

其他支援選項

輸入主題，以搜尋我們的知識庫