Quelle: HP
Updates für Sicherheitslecks in HP-Druckern
Diverse Drucker aus Hewlett-Packards Laserjet-Familie lassen sich offenbar via Telnet ohne Passwortabfrage steuern. HP hat mittlerweile mit Firmware-Updates reagiert.
12. März 2013
Wie "Heise" unter Bezug auf den indischen Online-Dienst "CRN" berichtet, ist bei zehn Modellen aus HPs Laserjet-Familie eine Schwachstelle entdeckt worden, die es Angreifern ermöglicht, über das Netzwerk ohne Authentifizierung Passwörter auszulesen oder die Verschlüsselung zu deaktivieren.
Wie der deutsche Sicherheitsexperte und Entdecker des Lecks, Christoph von Wittich, gegenüber "CRN" berichtet, habe er die Schwachstelle bei einem routinemässigen Netzwerk-Scan entdeckt: "Die Drucker wiesen einen offenen Telnet-Port auf, was ich nicht erwartet hätte." Und weiter: "Ich versuchte, mich über den Port mit einem Telnet-Client zu verbinden, und stiess auf eine Debug-Shell, die ein Abschalten der SSL-Kommunikation mit den HP Eprint Cloud Servern erlaubte und die Passwörter als Plain Text zeigten."
Mittlerweile hat sich auch das dem Homeland Security angehörende US-Cert der Sache angenommen und warnt in einem Advisory vor dem Leck.
Konkret sind folgende Laserjet-Pro-Modelle betroffen: P1102w, P1606dn, M1212nf, M1213nf, M1214nfh, M1216nfh, M1217nfw, M1218nfs, M1219nf sowie CP1025nw.
HP hat mittlerweile Firmware-Updates für die betroffenen Drucker bereitgestellt. (rd)
Wie der deutsche Sicherheitsexperte und Entdecker des Lecks, Christoph von Wittich, gegenüber "CRN" berichtet, habe er die Schwachstelle bei einem routinemässigen Netzwerk-Scan entdeckt: "Die Drucker wiesen einen offenen Telnet-Port auf, was ich nicht erwartet hätte." Und weiter: "Ich versuchte, mich über den Port mit einem Telnet-Client zu verbinden, und stiess auf eine Debug-Shell, die ein Abschalten der SSL-Kommunikation mit den HP Eprint Cloud Servern erlaubte und die Passwörter als Plain Text zeigten."
Mittlerweile hat sich auch das dem Homeland Security angehörende US-Cert der Sache angenommen und warnt in einem Advisory vor dem Leck.
Konkret sind folgende Laserjet-Pro-Modelle betroffen: P1102w, P1606dn, M1212nf, M1213nf, M1214nfh, M1216nfh, M1217nfw, M1218nfs, M1219nf sowie CP1025nw.
HP hat mittlerweile Firmware-Updates für die betroffenen Drucker bereitgestellt. (rd)
Weitere Artikel zum Thema
HP veröffentlicht Update für Sicherheitslücke in Laserjet-Druckern
5. Januar 2012 - HP stellt auf seiner Support-Website eine neue Firmware für seine Laserjet-Drucker bereit. Damit wird ein vor kurzem aufgetauchtes Sicherheitsleck geschlossen.HP arbeitet an Update für Laserjet-Leck
1. Dezember 2011 - HP bestätigt Schwachstelle in Laserjet-Druckern und arbeitet an einem Firmware-Update, um das Leck zu beseitigen.Artikel kommentieren
