КиберосноваSGRC
BDU:2019-04870
Высокий

BDU:2019-04870: Уязвимость компонента EFI_BOOT_SERVICES микропрограммного обеспечения настольных рабочих станций, персональных компьютеров и кассовых аппаратов компании Hewlett-Packard Development Company L.P, позволяющая нарушителю повысить свои привилегии

CVSS v37.2
CVSS v29.0

Детали уязвимости BDU:2019-04870

Описание

Уязвимость компонента EFI_BOOT_SERVICES микропрограммного обеспечения настольных рабочих станций, персональных компьютеров и кассовых аппаратов компании Hewlett-Packard Development Company L.P существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Что делать с BDU:2019-04870

Высокая уязвимость (CVSS 7.2) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.2Высокий
Пересчитать →
v2
9.0
Только просмотр
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-20
Недостаточная проверка ввода

Программа не проверяет или неправильно проверяет входные данные. Базовая причина большинства инъекций и переполнений.

Как атакуют и что делать ▾

Сценарий атаки

Атакующий отправляет неожиданный ввод: отрицательные числа, спецсимволы, сверхдлинные строки — программа обрабатывает их без проверки.

Последствия

Базовая причина большинства инъекций, переполнений и логических ошибок.

Рекомендации

Валидируйте все входные данные по white-list, ограничивайте длину, тип и диапазон значений.

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (98)

ВендорНазваниеВерсияПлатформа
HP Inc.HP 260 G1 DMдо 2.27Не указана
HP Inc.HP 280 Pro G1 Microtower PCдо 80.3Не указана
HP Inc.HP 285 G2 Microtower Business PCдо A0.23Не указана
HP Inc.HP 340 G3 Notebook PCдо F.48Не указана
HP Inc.HP 340 G3 Notebook PCHP 340 G4 Notebook PCНе указана
HP Inc.HP 340 G4 Notebook PCдо F.55Не указана
HP Inc.HP 346 G3 Notebook PCдо F.48Не указана
HP Inc.HP 346 G4 Notebook PCдо F.46Не указана
HP Inc.HP 348 G3 Notebook PCдо F.48Не указана
HP Inc.HP 348 G3 Notebook PCдо F.55Не указана
HP Inc.HP Elite Sliceдо 2.42Не указана
HP Inc.HP Elite x2 1011 G1 Tabletдо 1.27Не указана
HP Inc.HP Elite x2 1011 G1 Tabletдо 1.42Не указана
HP Inc.HP EliteBook 1030 G1 Notebookдо 1.42Не указана
HP Inc.HP EliteBook 1040 G2 Notebook PCдо 1.17Не указана
HP Inc.HP EliteBook 720 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 720 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 740 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 740 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 750 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 750 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 820 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 820 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 820 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook 828 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook 840 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 840 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 840 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook 848 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook 850 G1 Notebook PCдо 1.48Не указана
HP Inc.HP EliteBook 850 G2 Notebook PCдо 1.29Не указана
HP Inc.HP EliteBook 850 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook Folio 1020 G1 Notebook PCдо 1.24Не указана
HP Inc.HP EliteBook Folio 1020 G1 Special Edition Notebook PCдо 1.24Не указана
HP Inc.HP EliteBook Folio 1040 G1 Notebook PCдо 1.44Не указана
HP Inc.HP EliteBook Folio 1040 G3 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook Folio G1 Notebook PCдо 1.42Не указана
HP Inc.HP EliteBook Revolve 810 G2до 1.45Не указана
HP Inc.HP EliteBook Revolve 810 G3до 1.2Не указана
HP Inc.HP EliteDesk 800 G2 DMдо 2.42Не указана
HP Inc.HP EliteDesk 800 G2 SFFдо 2.42Не указана
HP Inc.HP EliteDesk 800 G2 TWRдо 2.42Не указана
HP Inc.HP EliteOne 800 G2 AiO PCдо 2.42Не указана
HP Inc.HP Elitepad 1000 G2до 1.48Не указана
HP Inc.HP MP9 G2 Retail Systemдо 2.42Не указана
HP Inc.HP Pro Tablet 10 EE G1до 1.31Не указана
HP Inc.HP Pro Tablet 608 G1до 1.21Не указана
HP Inc.HP Pro Tablet 610 G1до F.16Не указана
HP Inc.HP Pro x2 612 G1 Tabletдо 1.48Не указана
HP Inc.HP ProBook 11 G1 Education Editionдо 1.17Не указана

Показано 50 из 98

Рекомендации по устранению

Использование рекомендаций: https://support.hp.com/rs-en/document/c06456250

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.2

Уточните SLA под вашу среду

Базовый балл 7.2 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации2.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-10-28

Опубликована

2019-12-26

Обновлена

2019-12-26

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно
Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0