HP dicht lek in beheersoftware Laserjet
Gepubliceerd: Donderdag 6 april 2006
Auteur: Wilbert de Vries
Experts hebben een lek ontdekt in de managementsoftware van de HP Color Laserjet 2500 en 4600. Hewlett-Packard heeft het lek inmiddels gedicht.
De HP Toolbox is een bundel beheertools voor Windows die systeembeheerders moet helpen bij het automatiseren van bepaalde taken en het oplossen van eventuele printerproblemen.
Beveiligingsexpert Richard Horsman van Sec-1.com ontdekte een fout in een van de processen in de software die luistert op tcp-poort 5225 en vatbaar is voor directory traversal. Dit blijkt uit een posting eerder deze week op Bugtraq.
Bij directory traversal, ook wel bekend als de dot slash-aanval (../), gebruikt de aanvaller bepaalde commando's in een request om door te dringen tot het bestandssysteem.
HP is op de hoogte gebracht van het lek en heeft inmiddels een update uitgebracht (HP Color Laserjet 2500/4600 Software Update version 3.1) die via het Support Center is te downloaden.
