Aggiornamento remoto del firmware abilitato per impostazione predefinita
COMUNICAZIONE DI SUPPORTO- BOLLETTINO SULLA SICUREZZA
ID documento: c03145502
Versione: 1
HPSBPI02728 SSRT100692 rev.6 - Aggiornamento remoto del firmware abilitato per impostazione predefinita su alcune stampanti e dispositivi di invio digitale HP
AVVISO: Le informazioni contenute nel presente bollettino devono essere applicate il più presto possibile.
Data di rilascio : 10-Jan-2012
Ultimo aggiornamento : 10-Jan-2012
Nel novembre 2011 è stata identificata una potenziale vulnerabilità della protezione su alcune stampanti e dispositivi di invio digitale HP. La vulnerabilità potrebbe essere sfruttata in modalità remota per installare firmware della stampante non autorizzato. Questo revisione, versione 6, del bollettino sulla sicurezza annuncia la disponibilità di aggiornamenti del firmware per i dispositivi aggiuntivi.
CRONOLOGIA
Versione: 1 (Rev. 1) - Prima versione 30 novembre 2011
Versione: 2 (Rev. 2) - Firmware della firma del codice disponibile 23 dicembre 2011
Versione: 3 (Rev. 3) - Tabelle combinate 9 gennaio 2012
Versione: 4 (rev.4) - Stampanti aggiunte, versioni firmware aggiornate 17 febbraio 2012
Versione: 5 (rev.5) - Stampanti aggiunte, versioni firmware aggiornate 19 marzo 2012
Versione: 6 (rev.6) - Stampanti aggiunte, tabella riformattata 26 aprile 2012
Versione: 1 (Rev. 1) - Prima versione 30 novembre 2011
Versione: 2 (Rev. 2) - Firmware della firma del codice disponibile 23 dicembre 2011
Versione: 3 (Rev. 3) - Tabelle combinate 9 gennaio 2012
Versione: 4 (rev.4) - Stampanti aggiunte, versioni firmware aggiornate 17 febbraio 2012
Versione: 5 (rev.5) - Stampanti aggiunte, versioni firmware aggiornate 19 marzo 2012
Versione: 6 (rev.6) - Stampanti aggiunte, tabella riformattata 26 aprile 2012
CVE-2011-4161
Consultare la sezione RISOLUZIONE di seguito per un elenco dei prodotti interessati.
Metrica di base CVSS 2.0
|
Riferimento
|
Vettore di base
|
Vettore di base
|
|
CVE-2011-4161
|
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
|
10.0
|
Le informazioni relative a CVSS sono documentate nell’Avviso ai clienti HP: HPSN-2008-002.
Nota: per ulteriori informazioni sulla stampa e l’acquisizione protetta, consultare il sito
http://www.hp.com/go/secureprinting
Aggiornamento remoto del firmware (RFU, Remote Firmware Update): La funzione RFU (Remote Firmware Update) è abilitata per impostazione predefinita. Un aggiornamento del firmware può essere inviato in modalità remota alla porta 9100 senza autenticazione. Ciò può consentire la modifica non autorizzata del firmware del dispositivo. Il firmware non autorizzato può compromettere la riservatezza e l’integrità dei dati inviati e ricevuti dal dispositivo. Il firmware non autorizzato può anche determinare un errore DoS (Denial of Service) nel servizio.
Per evitare aggiornamenti di firmware non autorizzato, attenersi alla seguente procedura:
- Aggiornare il firmware a una versione che supporta la firma del codice
- Disattivare la funzione RFU (Remote Firmware Update)
La funzione di firma del codice verifica che gli aggiornamenti del firmware siano correttamente firmati. Ciò impedisce l’installazione di aggiornamenti del firmware non validi.
|
Prodotto
|
Azione correttiva consigliata
|
|
Stampante multifunzione a colori HP LaserJet Pro 100 M175
|
Passare alla versione
20111021
del 17 febbraio 2012 o successiva |
|
Stampante a colori HP LaserJet Pro serie CP1025
|
Passare alla versione
20120130
del 22 febbraio 2012 o successiva |
|
Stampanti HP LaserJet Pro serie P1102
|
Passare alla versione
20120130
del 4 febbraio 2012 o successiva |
|
Stampanti multifunzione HP LaserJet serie M1120
|
Passare alla versione
20120305
del 22 marzo 2012 o successiva |
|
Stampanti multifunzione HP LaserJet Pro serie M1136
|
Passare alla versione
20120206
del 17 febbraio 2012 o successiva |
|
Stampanti a colori HP LaserJet serie CP1210
|
Passare alla versione
20120213
del 28 febbraio 2012 o successiva |
|
Stampanti multifunzione HP LaserJet Pro serie M1212nf
|
Passare alla versione
20120206
del 17 febbraio 2012 o successiva |
|
Stampante multifunzione HP Color LaserJet CM1312
|
Passare alla versione
20120104
del 18 gennaio 2012 o successiva |
|
Stampante multifunzione HP Color LaserJet CM1312nfi
|
Passare alla versione
20120104
del 18 gennaio 2012 o successiva |
|
Stampanti multifunzione HP LaserJet serie M1319
|
Passare alla versione
20120302
del 13 marzo 2012 o successiva |
|
Stampante multifunzione a colori HP LaserJet Pro CM1415
|
Passare alla versione
20120216
del 22 febbraio 2012 o successiva |
|
Stampanti HP LaserJet serie P1500
|
Passare alla versione
20120201
del 27 febbraio 2012 o successiva |
|
Stampanti a colori HP LaserJet serie CP1510
|
Passare alla versione
20120110
del 13 febbraio 2012 o successiva |
|
Stampanti multifunzione HP LaserJet serie M1522
|
Passare alla versione
20120123
del 31 gennaio 2012 o successiva |
|
Stampante a colori HP LaserJet Pro CP1525
|
Passare alla versione
20111215
del 13 febbraio 2012 o successiva |
|
Stampante multifunzione HP LaserJet Pro M1536
|
Passare alla versione
20111215
del 13 febbraio 2012 o successiva |
|
Stampante HP LaserJet Pro P1606dn
|
Passare alla versione
20120130
del 14 febbraio 2012 o successiva |
|
HP Color LaserJet CP2025
|
Passare alla versione
20120105
del 23 febbraio 2012 o successiva |
|
Stampanti HP LaserJet serie P2035
|
Passare alla versione
20120105
del 19 marzo 2012 o successiva |
|
Stampanti HP LaserJet serie P2055
|
Passare alla versione
20120131
del 9 febbraio 2012 o successiva |
|
Stampanti multifunzione HP Color LaserJet serie CM2320
|
Passare alla versione
20120104
del 18 gennaio 2012 o successiva |
|
Stampante HP LaserJet serie 2400
|
Passare alla versione
08_210_4
del 13 gennaio 2012 o successiva |
|
Stampanti multifunzione HP LaserJet serie M2727
|
Passare alla versione
20120123
del 31 gennaio 2012 o successiva |
|
Stampanti All-in-One HP LaserJet serie 2800
|
Passare alla versione
20120307
del 2 aprile 2012 o successiva |
|
HP Color LaserJet 3000
|
Passare alla versione
46_050_1
17 febbraio 2012 o successiva |
|
HP LaserJet P3005
|
Passare alla versione
02.150.1
del 14 marzo 2012 o successiva |
|
HP LaserJet Enterprise P3015
|
Passare alla versione
07_130_7
del 12 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M3027
|
Passare alla versione
48_241_2
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M3035
|
Passare alla versione
48_241_2
del 19 gennaio 2012 o successiva |
|
HP Color LaserJet CP3505
|
Passare alla versione
03.130.2
del 23 febbraio 2012 o successiva |
|
HP Color LaserJet CP3525
|
Passare alla versione
06_130_8
del 12 gennaio 2012 o successiva |
|
HP Color LaserJet CM3530
|
Passare alla versione
53_171_4
del 19 gennaio 2012 o successiva |
|
HP Color LaserJet 3800
|
Passare alla versione
46_050_2
del 17 febbraio 2012 o successiva |
|
HP Color LaserJet CP4005
|
Passare alla versione
46_190_3
del 13 gennaio 2012 o successiva |
|
HP LaserJet P4014
|
Passare alla versione
04_160_9
del 12 gennaio 2012 o successiva |
|
HP LaserJet P4015
|
Passare alla versione
04_160_9
del 12 gennaio 2012 o successiva |
|
HP LaserJet 4240
|
Passare alla versione
08_220_3
del 13 gennaio 2012 o successiva |
|
HP LaserJet 4250
|
Passare alla versione
08_220_3
del 13 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet 4345
|
Passare alla versione
09.270.1
del 16 febbraio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M4345
|
Passare alla versione
48_241_2
del 19 gennaio 2012 o successiva |
|
HP LaserJet 4350
|
Passare alla versione
08_220_3
del 13 gennaio 2012 o successiva |
|
HP LaserJet P4515
|
Passare alla versione
04_160_9
del 12 gennaio 2012 o successiva |
|
HP Color LaserJet Enterprise CP4525
|
Passare alla versione
07_111_0
del 12 gennaio 2012 o successiva |
|
HP Color LaserJet 4700
|
Passare alla versione
46_200_1
del 17 febbraio 2012 o successiva |
|
Stampante multifunzione HP Color LaserJet 4730
|
Passare alla versione
46.350.1
del 16 febbraio 2012 o successiva |
|
Stampante multifunzione HP Color LaserJet CM4730
|
Passare alla versione
50_221_3
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M5025
|
Passare alla versione
48_241_2
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M5035
|
Passare alla versione
48_241_2
del 19 gennaio 2012 o successiva |
|
HP LaserJet 5200L
|
Passare alla versione
08_181_1
del 12 gennaio 2012 o successiva |
|
HP LaserJet 5200N
|
Passare alla versione
08_181_1
del 12 gennaio 2012 o successiva |
|
Stampanti a colori HP LaserJet Professional serie CP5225
|
Passare alla versione
20111220
del 10 gennaio 2012 o successiva |
|
HP Color LaserJet 5550
|
Passare alla versione
07_200_5
del 9 febbraio 2012 o successiva |
|
HP Color LaserJet CP6015
|
Passare alla versione
04_151_0
del 12 gennaio 2012 o successiva |
|
HP Color LaserJet CM6030
|
Passare alla versione
52_191_2
del 19 gennaio 2012 o successiva |
|
HP Color LaserJet CM6040
|
Passare alla versione
52_191_2
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione a colori HP CM8060 con Edgeline
|
Disattiva l’aggiornamento firmware remoto
(istruzioni)
|
|
HP LaserJet 9040
|
Passare alla versione
08_221_5
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet 9040
|
Passare alla versione
08_260_1
del 17 febbraio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M9040
|
Passare alla versione
51_191_3
del 19 gennaio 2012 o successiva |
|
HP LaserJet 9050
|
Passare alla versione
08_221_5
del 19 gennaio 2012 o successiva |
|
Stampante multifunzione HP LaserJet 9050
|
Passare alla versione
08_260_1
del 17 febbraio 2012 o successiva |
|
Stampante multifunzione HP LaserJet M9050
|
Passare alla versione
51_191_3
del 19 gennaio 2012 o successiva |
|
Digital Sender HP 9200c
|
Passare alla versione
09_270_2
del 17 febbraio 2012 o successiva |
|
Digital Sender HP 9250c
|
Passare alla versione
48_231_2
del 19 gennaio 2012 o successiva |
|
HP Color LaserJet 9500
|
Passare alla versione
05_020_3
del 2 marzo 2012 o successiva |
|
Stampante multifunzione HP Color LaserJet 9500
|
Passare alla versione
08.260.1
del 13 febbraio 2012 o successiva |
Come disabilitare l’aggiornamento remoto del firmware (RFU, Remote Firmware Update)
Per istruzioni su come disabilitare la funzione RFU, consultare il documento seguente:
Configurazione dell’aggiornamento remoto del firmware sulle stampanti e i dispositivi multifunzione HP
Il documento è disponibile qui:
Come scaricare un aggiornamento del firmware
La tabella sopra riportata contiene i collegamenti per gli aggiornamenti del firmware richiesti. Gli aggiornamenti del firmware per tutti i prodotti possono essere anche scaricati nel modo indicato di seguito.
Andare su
www.hp.com/go/support; quindi:
- Selezionare “Driver e software”
- Immettere nel campo di ricerca il nome del prodotto così come è riportato nella tabella sopra
- Fare clic su “Cerca”
- Se la ricerca restituisce un elenco di prodotti, fare clic sul prodotto appropriato
-
In “Seleziona sistema operativo”, fare clic su “Sistema operativo incrociato (BIOS, Firmware, Diagnostica, ecc.)”
Se il collegamento “Sistema operativo incrociato...” non è presente, selezionare un sistema operativo Windows dall’elenco. - Selezionare l’aggiornamento del firmware appropriato in “Firmware”
Patch di sicurezza di terze parti: le patch di sicurezza di terze parti da installare su sistemi che eseguono prodotti software HP devono essere applicate in base ai criteri di gestione patch del cliente.
Supporto: per problemi riguardanti l’implementazione delle raccomandazioni del presente bollettino sulla sicurezza, contattare il normale canale di Assistenza clienti HP. Per altri problemi riguardanti il contenuto del presente bollettino sulla sicurezza, inviare un’e-mail all’indirizzo security-alert@hp.com.
Segnalazione: per segnalare una potenziale vulnerabilità nella protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: security-alert@hp.com
Sottoscrizione: per ricevere tramite e-mail gli avvisi relativi ai prossimi bollettini sulla sicurezza HP:
http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins
Elenco bollettini sulla sicurezza: Un elenco di bollettini sulla sicurezza HP, aggiornato periodicamente, è contenuto nell’avviso sulla sicurezza HP HPSN-2011-001:
https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02964430
Archivio dei bollettini sulla sicurezza: un elenco di bollettini sulla sicurezza rilasciati recentemente è disponibile da:
http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive/
Categorie di prodotti software: la categoria del prodotto software è rappresentata nel titolo dai due caratteri che seguono HPSB.
3C = 3COM
3P = SW di terze parti
GN = Software generico HP
HF = Hardware e firmware HP
MP = MPE/iX
MU = Software multi-piattaforma
NS = Server NonStop
OV = OpenVMS
PI = Stampa e acquisizione
PV = ProCurve
ST = Software di archiviazione
TU = Tru64 UNIX
UX = HP-UX
3P = SW di terze parti
GN = Software generico HP
HF = Hardware e firmware HP
MP = MPE/iX
MU = Software multi-piattaforma
NS = Server NonStop
OV = OpenVMS
PI = Stampa e acquisizione
PV = ProCurve
ST = Software di archiviazione
TU = Tru64 UNIX
UX = HP-UX
La gestione del sistema e le procedure di sicurezza devono essere analizzate frequentemente per mantenere l'integrità del sistema. HP rivede e ottimizza continuamente le funzionalità di protezione dei prodotti software per fornire ai propri clienti le soluzioni più aggiornate e sicure.
"HP distribuisce il presente bollettino al fine di portare l'attenzione degli utenti sui prodotti HP interessati dalle importanti informazioni di sicurezza contenute nel bollettino. HP consiglia a tutti gli utenti di stabilire l'applicabilità di queste informazioni alle loro situazioni individuali al fine di prendere le misure appropriate. HP non garantisce la precisione o la completezza di queste informazioni per l'utilizzo in tutte le situazioni e, di conseguenza, HP non è responsabile di qualsiasi danno derivante dall'utilizzo o dal mancato utilizzo delle informazioni fornite dal presente bollettino. Secondo quanto previsto dalla legge, HP non è responsabile di qualsiasi garanzia, incluse tutte le garanzie espresse e implicite e le condizioni di commerciabilità, di idoneità per uno scopo specifico, della titolarità e della violazione dei diritti altrui."
© Copyright 2023 HP Development Company, L.P.
HP Inc. declina ogni responsabilità per eventuali omissioni ed errori tecnici o editoriali contenuti nel presente documento. Le informazioni vengono fornite "così come sono" senza garanzie di alcun tipo. Secondo quanto previsto dalla legge, né HP né le sue associate, subappaltatori o fornitori potranno essere ritenuti responsabili per qualsiasi danno incidentale, speciale o derivante compresi i costi per i tempi di inattività, perdita di profitti, danni imputabili a forniture di prodotti o servizi sostitutivi oppure a perdite di dati o ripristino di software. Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso. HP Inc. e i nomi dei prodotti HP sono marchi di HP Inc. negli Stati Uniti e in altri Paesi. I nomi degli altri prodotti e delle società qui riportati potrebbero essere marchi dei loro rispettivi proprietari.
Opzioni di supporto aggiuntive
Inserire un argomento per cercare nella nostra libreria di conoscenze
Come possiamo aiutarti?
Serve aiuto?