Sicherheit HP CVE-2017-12652, CVE-2022-2068, CVE-2023-45853, CVE-2020-1415: Kritische Sicherheitslücke im universellen Druckertreiber
Bereits Ende Januar hat der Drucker-Primus HP mehrere Schwachstellen im Universaltreiber bekannt gegeben
. Dieser ist sowohl für die meisten Drucker mit PCL 6 als auch mit Postscript von HP (vollständige Liste beim Hersteller) unter Windows verfügbar. Betroffen sind sämtliche Installationen vor der Version 7.3.0.25919. Die korrigierte Version stammt bereits vom 18. November 2024 und steht zum Download unter www.hp.com/go/UPD zur Verfügung.
Die insgesamt vier Lücken sind mit einem CVSS-Wert zwischen 7,1 und 9,8 (von höchstens 10,0) bewertet worden und haben in Folge eine Einstufung von "hoch" und in drei Fällen sogar als "kritisch" erhalten.
Ursächlich sind fehlerhafte Umsetzungen der Bibliotheken "zlib", "libpng", "libjpeg" und "OpenSSL". Durch eine manipulierte Eingabe (vermeintliche Druckdaten) können fremder Programmcode (auf dem Windows-Rechner) ausgeführt und/oder eigentlich geschützte Informationen offengelegt werden.
Betroffene Treiber & Installation
Nach aktuellem Stand sind ausschließlich die beiden Universaltreiber (für PCL 6 und Postscript) unter Windows betroffen. Für die einzelnen Modellserien speziell angepasste Treiber verwenden andere Bibliotheken. Nach der Installation der aktualisierten Version sollte man sicherstellen, dass der bisherige Treiber auch tatsächlich ersetzt wurde. Alternativ kann man diesen zuvor oder anschließend auch händisch entfernen.
| Übersicht der Schwachstellen (Januar 2025) | ||
|---|---|---|
| CVSS-Wert (v3) und Auswirkungen | Beschreibung | |
CVE-2017-12652 | 9.8 "kritisch" AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H | Fehler in "libpng" Mögliche Auswirkung: Ausführung von willkürlichem Code. |
| CVE-2022-2068 | 9.8 "kritisch" AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H | Fehler in "OpenSSL" Mögliche Auswirkung: Ausführung von willkürlichem Code. |
| CVE-2023-45853 | 9.8 "kritisch" AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H | Fehler in "zlib" Mögliche Auswirkung: Offenlegung von Informationen. |
| CVE-2020-14152 | 7.1 "hoch" AF4AV:L / AC:L / PR:N / UI:R / S:U / C:H / I:N / A:H | Fehler in "libjpeg" Mögliche Auswirkung: DOS-Attacke, Denial of Service |
| © Druckerchannel | ||
CVSSv3 Base Score - Risikobewertung
- 0 - kein Risiko
- 0.1 bis 3.9 - niedrig
- 4.0 bis 6.9 - mittel
- 7.0 bis 8.9 - hoch
- 8.0 bis 10.0 - kritisch
Beschreibung/Angriffsvektoren (Auswahl)
- AV:N
die Schwachstelle kann über das Web ausgenutzt werden - AC:L
Mögliche SQL-Injection (wenn vom Anbieter keine Gegenmaßnahmen getroffen wurden) - AT:N
ein potentieller Angriff ist nicht von einer bestimmten Systemkonfiguration abhängig - PR:L
für den Angriff reicht die Authentifikation als Standardbenutzer (Administratorrechte nicht nötig) - UI:N
keine anderen Benutzer betroffen - VC:H
Angreifer kann die vollständige Datenbank auslesen - VI:N
Angreifer hat kein Schreibrecht (nur Lesen) - VA:L
Angreifer kann komplexe Datenbankabfragen starten und somit die Gesamtperformance verlangsamen
