Xmco Partners : accès à des fichiers de configuration et à des documents imprimés via une faille des imprimantes HP Laser Jet
février 2009 par XMCO PARTNERS
– Date : 10 Fevrier 2009
– Plateforme : HP
- Programmes :
* HP LaserJet printers
* HP Color LaserJet
* HP Digital Senders
_
- Gravité : Moyenne
- Exploitation : Réseau local
- Dommage : Vol d’informations
- Description :
Une vulnérabilité a été découverte au sein des imprimantes HP LaserJet. Un
pirate pouvait accéder à des fichiers sensibles en exploitant cette faille
de sécurité.
Le problème avait été reporté en Octobre 2008. Il serait possible
d’accéder à des documents placés en dehors de la racine root du serveur
web et ainsi obtenir les documents mis en cache par l’imprimante ou des
fichiers de configuration.
Aucun détail technique n’a été publié.
- Vulnérable :
* HP LaserJet 2410 avec un firmware inférieur à 20080819 SPCL112A
* HP LaserJet 2420 avec un firmware inférieur à 20080819 SPCL112A
* HP LaserJet 2430 avec un firmware inférieur à 20080819 SPCL112A
* HP LaserJet 4250 avec un firmware inférieur à 20080819 SPCL015A
* HP LaserJet 4350 avec un firmware inférieur à 20080819 SPCL015A
* HP LaserJet 9040 avec un firmware inférieur à 20080819 SPCL110A
* HP LaserJet 9050 avec un firmware inférieur à 20080819 SPCL110A
* HP LaserJet 4345mfp avec un firmware inférieur à 09.120.9
* HP Color LaserJet 4730mfp avec un firmware inférieur à 46.200.9
* HP LaserJet 9040mfp avec un firmware inférieur à 08.110.9
* HP LaserJet 9050mfp avec un firmware inférieur à 08.110.9
* HP 9200C Digital Sender avec un firmware inférieur à 09.120.9
* HP Color LaserJet 9500mfp avec un firmware inférieur à 08.110.9
- Référence :
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01623905
http://www.securityfocus.com/archive/1/archive/1/500657/100/0/threaded
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4419
- Correction :
Nous vous conseillons de mettre à jour les firmwares des imprimantes
affectées :
* HP LaserJet 4345mfp :
Utiliser le firmware 09.120.9.
* HP Color LaserJet 4730mfp :
Utiliser le firmware 46.200.9
* HP LaserJet 9040mfp :
Utiliser le firmware 08.110.9
* HP LaserJet 9050mfp :
Utiliser le firmware 08.110.9
* HP 9200C Digital Sender :
Utiliser le firmware 09.120.9
* HP Color LaserJet 9500mfp :
Utiliser le firmware 08.110.9
* HP LaserJet 2410 :
Utiliser le firmware 20080819 SPCL112A
* HP LaserJet 2420 :
Utiliser le firmware 20080819 SPCL112A
* HP LaserJet 2430 :
Utiliser le firmware 20080819 SPCL112A
* HP LaserJet 4250 :
Utiliser le firmware 20080819 SPCL015A
* HP LaserJet 4350 :
Utiliser le firmware 20080819 SPCL015A
* HP LaserJet 9040 :
Utiliser le firmware 20080819 SPCL110A
* HP LaserJet 9050 :
Utiliser le firmware 20080819 SPCL110A
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1234258837