特定のPoly デバイスで潜在的な脆弱性が見つかりました。潜在的な問題により、攻撃者がWebサーバーのアクティブな管理者セッションを予測し、便乗する可能性があります。この潜在的な脆弱性は、アクティブなセッションを維持している管理者に依存します。
高
HPSBPY03896 修正版2
2024年1月8日
2024年3月6日
Poly
特権の昇格、情報漏えい
レポート元:Modzero
CVE ID |
CVSS |
重大度 |
ベクトル |
---|---|---|---|
8.8 |
高 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVSS 3.1の基本評価基準 (0~10) に関する詳細はこちらをご覧ください。
PSR-2024-0003
HPは影響を受けるプラットフォームに対応する最小バージョンのSoftPaqを確認済みです。このSoftPaqにより、潜在的な脆弱性を軽減できます。以下の影響を受ける製品を参照してください。
特定のファームウェアバージョンが必要なお客様に対して、HPは、潜在的な影響を軽減するため、Webサーバーを無効にし、個別のデバイス管理サービス (Poly Lens) からデバイスを管理することをお勧めします。
新しいバージョンが利用可能になり、以下の表に記載されている最小バージョンが提供終了になる可能性があります。SoftPaqのリンクが無効になっている場合は、「HP カスタマーサポート - ソフトウェアおよびドライバのダウンロード」で、お使いの製品モデル用の最新アップデートを入手してください。
HPは、最新のファームウェアとソフトウェアを使用してシステムを最新の状態に保つことをお勧めします。
この通告は、新しい情報やSoftPaqが利用可能になると更新される可能性があります。HP サブスクリプションにサインアップすると、以下に関する通知を受け取れます。
製品サポートのeAlert
ドライバの更新
セキュリティ通告の更新
この問題の影響を受ける製品は、次のとおりです。
製品名 |
コンポーネントの種類 |
最新ファームウェアバージョン |
---|---|---|
Trio 8300 |
Conference Phone |
≥ 8.1.5.1722または軽減策に従ってWebサーバーを無効にします |
Trio 8500 |
Conference Phone |
≥ 7.2.7.0191または軽減策に従ってWebサーバーを無効にします |
Trio 8800 |
Conference Phone |
≥ 7.2.7.0191または軽減策に従ってWebサーバーを無効にします |
Trio C60 |
Conference Phone |
≥ 8.1.5.1737または軽減策に従ってWebサーバーを無効にします |
CCX 350 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
CCX 400 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
CCX 500 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
CCX 505 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
CCX 600 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
CCX 700 |
Desktop Phone |
≥ 8.1.5.1732または軽減策に従ってWebサーバーを無効にします |
EDGE E100 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E220 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E300、E320、E350 シリーズ |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E300 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E320 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E350 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E400、E450 シリーズ |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E400 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E450 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E500、E550 シリーズ |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E500 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
EDGE E550 |
Desktop Phone |
≥ 8.2.0.10207または軽減策に従ってWebサーバーを無効にします |
VVX 101 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 150 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 201 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 250 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 301 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 311 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 350 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 401 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 411 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 450 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 501 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
VVX 601 |
Desktop Phone |
≥ 6.4.6.2640または軽減策に従ってWebサーバーを無効にします |
このドキュメントの改訂履歴は次のとおりです。
バージョン |
説明 |
日付 |
---|---|---|
2 |
修正バージョンを更新 |
2024年03月06日 |
1 |
初回リリース |
2024年01月09日 |
追加情報については、以下のリンクに従ってください。
HPソフトウェア製品を実行するシステムにサードパーティセキュリティパッチをインストールするかどうかは、お客様のパッチ管理方針によります。
このセキュリティ通告の推奨事項の導入に関連して生じる問題については、http://www.hp.com/go/contacthpでHPのカスタマーサポートオプションをご覧ください。
HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、hp-security-alert@hp.comへメールしてください。
電子メール経由で今後HPセキュリティ通告のアラートを受信するための申し込みは、https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profileにアクセスしてください。
リリースされたセキュリティ情報を確認するには、次のページにアクセスしてくださいhttps://support.hp.com/security-bulletins。
HPに伝えるセキュリティ関連の情報 (特に悪用情報) は、PGPを使用して暗号化することが強く推奨されます。
システム管理とセキュリティの手順は、システムの完全性を維持するために頻繁に見直す必要があります。HPは継続的にソフトウェア製品のセキュリティ機能の見直しと強化を行い、安全性を実現するための最新ソリューションをお客様に提供しています。
HPでは、このセキュリティ通告をユーザーに広く配布して、この通告に含まれる重要なセキュリティ情報により影響を受けるHP製品に関する注意事項を伝えています。HPは、すべてのユーザーが、個々の状況に照らして情報の適用性を判断し、適切に対処することをお勧めします。HPはこの情報がすべてのユーザーの状況に対して必ずしも正確である、あるいは完全であると保証しません。したがって、HPは、ユーザーがこの通告で提供された情報を使用したことで、あるいは無視したことで生じたいかなる損害にも責任を負いません。法律で許可される範囲内において、HPは、明示的か黙示的かにかかわらず、特定の目的に対する商品性と適合性、権限、および権利の非侵害性など、あらゆる保証から免責されるものとします。
© Copyright 2024 HP Development Company, L.P.
HP Inc. (HP) は、このドキュメントの内容に関する技術上または編集上の誤りまたは省略に対して責任を負いません。情報は、いかなる保証の対象でもない「現状有姿」で提供されます。法律で認められている範囲で、HPとその関連会社、下請け業者、サプライヤーのいずれも、ダウンタイム費用、逸失利益、代替製品またはサービスの調達に関連する損害、データの損失またはソフトウェアの復元による損害を含む、偶発的、特殊的、結果的な損害について責任を負いません。このドキュメントの内容は、予告なしに変更されることがあります。「HP Inc.」、「HP」およびここに記載されているHP製品の名前は、HP Inc.またはその関連会社の米国およびその他の国における商標です。ここに掲載されているその他の製品名や会社名は、それぞれの所有者の商標である可能性があります。