Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1512

[HP/LaserJet] Schwachstelle im eingebetteten Webbrowser zahlreicher HP Drucker
(2009-02-09 11:39:27.844686+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2009/02/msg00047.html

Eine Directory Traversal Schwachstelle im enthaltenen Webserver zahlreicher HP LaserJet-Drucker sowie HP Digital Sender kann von einem Angreifer dazu ausgenutzt werden, beliebige Dateien des Dateisystems des Druckers auszulesen.

Inhalt

Zusammenfassung

Betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

Netzwerkfähige HP LaserJet Drucker stellen einen Webserver zur Konfiguration und Zustandsabfrage über das Netz bereit. Auf diesen kann mittels eines Browsers zugegriffen werden, um beispielsweise den Stand der Warteschlange für Druckaufträge einzusehen oder Systemeinstellungen vorzunehmen. Je nach Konfiguration eines Druckers können Benutzer über das Netzwerk, über das auch Druckaufträge gesandt werden, auch auf diesen Webserver zugreifen.

Beschreibung

Die ungenügende Prüfung von URIs, die dem eingebetteten Webserver über einem Browser gesandt werden, kann von einem Angreifer dazu ausgenutzt werden, beliebige Dateien im Dateisystem des Druckers auszulesen. Die Dateien können dabei auch außerhalb des obersten Verzeichnisses des durch den Webserver genutzten Teil des Dateisystems (web root) liegen. Auf diese Weise kann z.B. die Konfiguration des Druckers unautorisiert ausgelesen oder Details über fremde Druckaufträge bis hin zum Inhalt der zu druckenden Dokumente in Erfahrung gebracht werden. Sofern keine Maßnahmen zur Beschränkung des Zugriffs auf das Druckernetzwerk getroffen werden, kann ein solcher Angriff ggf. sogar aus fremden Netzen erfolgen.

Workaround

Hinweis: Diese Maßnahmen beheben die Schwachstellen nicht, sie verhindern lediglich ihre Ausnutzung bzw. schränken den Kreis der möglichen Angreifer ein. Ein Workaround sollte nicht als Dauerlösung angewandt werden! Es sollten die empfohlenen Gegenmaßnahmen ergriffen werden, sobald diese verfügbar sind.

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1512