Sicherheit CVE-2023-35175 (bis -35178): Schwachstelle mit "hohem" Schweregrad bei HP Laserjet-Druckern
Nachdem HP in diesem Jahr bereits mehrfach "kritische" Lücken in der hochflexiblen "Futuresmart"-Firmware für professionelle "Laserjet Enterprise"- und "Laserjet Managed"-Drucker gefunden und mittlerweile auch geschlossen hat, sind nun die ziemlich stark verbreiteten Modelle der "Laserjet Pro"-Serie "an der Reihe".
Bereits am 22. Juni hat der Drucker-Weltmarktführer insgesamt vier Sicherheitslücken, jeweils mit dem CVSS-Score
8.8 (von höchstens 10.0), veröffentlicht. In Klartext übersetzt werden diese somit offiziell als "hoch" eingestuft - dem zweithöchsten Schweregrad.
Schwachstellen
- HP-Bulletin HPSBPI03851 (CVE-2023-35175)
- HP-Bulletin HPSBPI03852 (CVE-2023-35176)
- HP-Bulletin HPSBPI03853 (CVE-2023-35177)
- HP-Bulletin HPSBPI03854 (CVE-2023-35178)
Auswirkung
Die Angriffsvektoren sind vielfältig. Über die genaue Herangehensweise, und darüber, ob dies bereits von potenziellen Angreifern ausgenutzt wurden, bleibt HP im vagen. Mögliche Auswirkungen und deren Ursachen werden jedoch knapp skizziert.
- Pufferüberlauf: wenn eine GET-Anforderung zum Scannen von Aufträgen ausgeführt wird.
- Pufferüberlauf und Denial of Service: bei der Nutzung der Funktion "Sichern und Wiederherstellen" über den integrierten Webserver (EWS).
- Stapelbasierter Pufferüberlauf: im Zusammenhang mit dem Compact-Schriftformat-Parser.
- Remote-Codeausführung und/oder Rechteerweiterungen: durch serverseitige Request-Forgery (SSRF) bei Verwendung des Webdienst-Ereignismodells.
Firmwareupgrade
Zur Behebung des Fehlers empfiehlt HP umgehend ein Upgrade auf die aktualisierte Firmwareversion-Version "002_2322C", die für alle betroffenen Drucker- und Multifunktionssysteme (siehe Liste unten) von HP zum Download angeboten werden.
HP-Support (Firmware-Download)
| Betroffene Geräte der Schwachstellen "CVE-2023-35175" bis "CVE-2023-35178" | ||
|---|---|---|
| Produktnummern (mit Welt-Versionen) | korrigierte Firmware | |
| HP Color Laserjet Pro MFP M479dw HP Color Laserjet Pro MFP M479fdn HP Color Laserjet Pro MFP M479fdw HP Color Laserjet Pro MFP M479fnw | W1A75A, W1A76A, W1A77A, W1A81A, W1A82A, W1A79A, W1A80A, W1A78A | 002_2322C oder höher |
| HP Color Laserjet Pro M454dn HP Color Laserjet Pro M454dw | W1Y40A, W1Y41A, W1Y46A, W1Y47A, W1Y44A, W1Y45A, W1Y43A | 002_2322C oder höher |
| HP Laserjet Pro M304a | W1A66A, W1A46A, W1A47A, W1A48A | 002_2322C oder höher |
| HP Laserjet Pro M404n HP Laserjet Pro M404dn HP Laserjet Pro M404dw | W1A51A, W1A53A, W1A56A, W1A63A, W1A52A, 93M22A, W1A58A, W1A59A, W1A60A, W1A57A | 002_2322C oder höher |
| HP Laserjet Pro MFP M428dw HP Laserjet Pro MFP M428fdn HP Laserjet Pro MFP M428fdw | W1A29A, W1A32A, W1A30A, W1A38A, W1A34A, W1A35A, W1A28A, W1A31A, W1A33A | 002_2322C oder höher |
| © Druckerchannel | ||
