近日,惠普在一份安全公告中宣布,修复影响某些企业级打印机固件的严重漏洞最多需要 90 天。
该安全问题被追踪为 CVE-2023-1707,它影响了大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号。
该公司使用 CVSS v3.1 标准计算出的严重性得分为 9.1(满分 10),并指出利用该标准可能会导致信息泄露。
尽管得分很高,但由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 并启用 IPsec,因此存在利用环境受限的情况。
IPsec(Internet 协议安全)是用于企业网络的 IP 网络安全协议套件,用于保护远程或内部通信并防止未经授权访问资产(包括打印机)。
FutureSmart 允许用户通过打印机上可用的控制面板或用于远程访问的 Web 浏览器来工作和配置打印机。
在这种情况下,信息泄露漏洞可能允许攻击者访问易受攻击的 HP 打印机与网络上其他设备之间传输的敏感信息。
BleepingComputer 媒体已联系HP官方以了解有关该缺陷的确切影响的更多信息,以及供应商是否看到了积极利用的迹象,但目前还没有收到任何声明。
以下打印机型号受 CVE-2023-1707 影响:
HP Color LaserJet Enterprise M455
HP Color LaserJet Enterprise MFP M480
HP Color LaserJet Managed E45028
HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528
HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35
HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70
HP LaserJet Enterprise M406、M407
HP LaserJet Enterprise MFP M430、M431
HP LaserJet Managed MFP E42540
HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030
HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40
HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70
惠普表示,解决该漏洞的固件更新将在 90 天内发布,因此目前没有可用的修复程序。
对于运行 FutureSmart 5.6 的客户,建议的缓解措施是将其固件版本降级到 FS 5.5.0.3。
“惠普建议立即恢复到以前版本的固件(FutureSmart 版本 5.5.0.3)。预计将在 90 天内更新固件以解决该问题。” 惠普官方声明。
此外,还建议用户从HP 官方下载门户获取固件包,在那里他们可以选择自己的打印机型号并获取相关软件。
原文来自「E安全」|侵删