
<div><br></div><div>Hola Fernando, </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">P.S.: Para evitar que se hagan interpretaciones incorrectas: Lo de<br>


arriba no tiene nada que ver con CGN. Si te quisieron vender un CGN con<br>

el argumento de seguridad, haz un bien a la comunidad, y denuncialos. :-)<br></blockquote><div><br></div><div>Con este párrafo se evitan las discusiones.</div><div>No tengo problema con el NAT mientras yo pueda controlarlo. Los CGN eliminan la posibilidad de e2e indiscriminadamente. </div>

<div>El CGN es malo en todo sentido (no solo como solución de seguridad). </div><div><br></div><div>Christian</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Saludos,<br>

Fernando<br>

<br>

<br>

<br>

<br>

-------- Original Message --------<br>

Subject: [security bulletin] HPSBPI02728 SSRT100692 rev.3 - Certain HP<br>

Printers and HP Digital Senders, Remote Firmware Update Enabled by Default<br>

Date: Mon,  9 Jan 2012 09:09:45 -0500 (EST)<br>

From: <a href="javascript:;" onclick="_e(event, 'cvml', 'security-alert@hp.com')">security-alert@hp.com</a><br>

To: <a href="javascript:;" onclick="_e(event, 'cvml', 'bugtraq@securityfocus.com')">bugtraq@securityfocus.com</a><br>

<br>

SUPPORT COMMUNICATION - SECURITY BULLETIN<br>

<br>

Document ID: c03102449<br>

Version: 3<br>

<br>

HPSBPI02728 SSRT100692 rev.3 - Certain HP Printers and HP Digital<br>

Senders, Remote Firmware Update Enabled by Default<br>

<br>

NOTICE: The information in this Security Bulletin should be acted upon<br>

as soon as possible.<br>

<br>

Release Date: 2011-11-30<br>

Last Updated: 2012-01-09<br>

<br>

Potential Security Impact: Remote firmware update enabled by default<br>

<br>

Source: Hewlett-Packard Company, HP Software Security Response Team<br>

<br>

VULNERABILITY SUMMARY<br>

A potential security vulnerability has been identified with certain HP<br>

printers and HP digital senders. The vulnerability could be exploited<br>

remotely to install unauthorized printer firmware.<br>

<br>

References: CVE-2011-4161<br>

<br>

SUPPORTED SOFTWARE VERSIONS*: ONLY impacted versions are listed.<br>

Please refer to the RESOLUTION<br>

 below for a list of impacted products.<br>

<br>

BACKGROUND<br>

<br>

CVSS 2.0 Base Metrics<br>

===========================================================<br>

  Reference              Base Vector             Base Score<br>

CVE-2011-4161    (AV:N/AC:L/Au:N/C:C/I:C/A:C)       10.0<br>

===========================================================<br>

             Information on CVSS is documented<br>

            in HP Customer Notice: HPSN-2008-002<br>

<br>

Note: For further information on Secure Printing and Imaging please<br>

refer to <a href="http://www.hp.com/go/secureprinting" target="_blank">http://www.hp.com/go/secureprinting</a><br>

<br>

Remote Firmware Update (RFU): The Remote Firmware Update (RFU) feature<br>

is enabled by default. A firmware update can be sent remotely to port<br>

9100 without authentication. This could allow unauthorized modification<br>

of the device firmware. The unauthorized firmware could impact the<br>

confidentiality and integrity of data sent to and received from the<br>

device. The unauthorized firmware could also cause a Denial of Service<br>

(DoS) to the device.<br>

<br>

RESOLUTION<br>

The following steps can be taken to avoid unauthorized firmware updates:<br>

<br>

Update the firmware to a version that implements code signing<br>

Disable the Remote Firmware Update<br>

<br>

The code signing feature verifies that firmware updates are properly<br>

signed. This will prevent the installation of invalid firmware updates.<br>

<br>

Note: A firmware update may be required to allow the RFU to be disabled<br>

or to implement code signing. Code signing is not available on all the<br>

affected devices. Please refer to the following table.<br>

<br>

Product<br>

 Firmware Update Required to Allow Disabling RFU<br>

 Firmware Update Required for Code Signing<br>

<br>

HP LaserJet Enterprise 500 color M551<br>

 No update required<br>

 No update required<br>

<br>

HP LaserJet Enterprise 600 M601<br>

 No update required<br>

 No update required<br>

<br>

HP LaserJet Enterprise 600 M602<br>

 No update required<br>

 No update required<br>

<br>

HP LaserJet Enterprise 600 M603<br>

 No update required<br>

 No update required<br>

<br>

HP Color LaserJet CM1312 Multifunction Printer<br>

 20111209 or later<br>

 Code signing not available<br>

<br>

HP LaserJet Pro CM1415 Color Multifunction Printer<br>

 20111215 or later<br>

 No update required<br>

<br>

HP Color LaserJet CP1510<br>

 20111209 or later<br>

 Code signing not available<br>

<br>

HP LaserJet M1522 Multifunction Printer<br>

 20111212 or later<br>

 Code signing not available<br>

<br>

HP LaserJet Pro CP1525 Color Printer<br>

 20111215 or later<br>

 No update required<br>

<br>

HP LaserJet Pro M1536 Multifunction Printer<br>

 20111215 or later<br>

 No update required<br>

<br>

HP Color LaserJet CP2025<br>

 20111208 or later<br>

 Code signing not available<br>

<br>

HP LaserJet P2035<br>

 20111213 or later<br>

 Code signing not available<br>

<br>

HP LaserJet P2055<br>

 20111214 or later<br>

 Code signing not available<br>

<br>

HP Color LaserJet CM2320 Multifunction Printer<br>

 20111209 or later<br>

 Code signing not available<br>

<br>

HP LaserJet M2727 Multifunction Printer<br>

 20111212 or later<br>

 Code signing not available<br>

<br>

HP Color LaserJet 3000<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet P3005<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet Enterprise P3015<br>

 No update required<br>

 20011213 07.130.0B or later<br>

<br>

HP LaserJet M3027 Multifunction Printer<br>

 No update required<br>

 20111212 48.240.0B or later<br>

<br>

HP LaserJet M3035<br>

 No update required<br>

 20111212 48.240.0B or later<br>

<br>

HP Color LaserJet CP3505<br>

 No update required<br>

 Code signing not available<br>

<br>

HP Color LaserJet CP3525<br>

 No update required<br>

 20111212 06.130.0B or later<br>

<br>

HP Color LaserJet CM3530<br>

 No update required<br>

 20111213 53.170.1B or later<br>

<br>

HP Color LaserJet 3800<br>

 No update required<br>

 Code signing not available<br>

<br>

HP Color LaserJet CP4005<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet P4014<br>

 No update required<br>

 20111214 04.160.2B or later<br>

<br>

HP LaserJet P4015<br>

 No update required<br>

 20111214 04.160.2B or later<br>

<br>

HP LaserJet 4240<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet 4250<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet M4345 Multifunction Printer<br>

 No update required<br>

 20111212 48.240.0B or later<br>

<br>

HP LaserJet 4350<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet P4515<br>

 No update required<br>

 20111214 04.160.2B or later<br>

<br>

HP Color LaserJet Enterprise CP4525<br>

 No update required<br>

 20111213 07.110.2B or later<br>

<br>

HP Color LaserJet Enterprise CM4540 Multifunction Printer<br>

 No update required<br>

 No update required<br>

<br>

HP LaserJet Enterprise M4555 Multifunction Printer<br>

 No update required<br>

 No update required<br>

<br>

HP Color LaserJet 4700<br>

 No update required<br>

 Code signing not available<br>

<br>

HP Color LaserJet 4730 Multifunction Printer<br>

 No update required<br>

 Code signing not available<br>

<br>

HP Color LaserJet CM4730 Multifunction Printer<br>

 No update required<br>

 20111212 50.220.1B or later<br>

<br>

HP LaserJet M5025 Multifunction Printer<br>

 No update required<br>

 20111212 48.240.0B or later<br>

<br>

HP LaserJet M5035 Multifunction Printer<br>

 No update required<br>

 20111212 48.240.0B or later<br>

<br>

HP LaserJet 5200L<br>

 No update required<br>

 20111214 08.180.1B or later<br>

<br>

HP LaserJet 5200N<br>

 No update required<br>

 20111214 08.180.1B or later<br>

<br>

HP Color LaserJet Professional CP5225 Printer<br>

 20111206 or later<br>

 Code signing not available<br>

<br>

HP Color LaserJet CP5525<br>

 No update required<br>

 No update required<br>

<br>

HP Color LaserJet 5550<br>

 No update required<br>

 Code signing not available<br>

<br>

HP Color LaserJet CP6015<br>

 No update required<br>

 20111212 04.150.0B or later<br>

<br>

HP Color LaserJet CM6030<br>

 No update required<br>

 20111212 52.190.1B or later<br>

<br>

HP Color LaserJet CM6040<br>

 No update required<br>

 20111212 52.190.1B or later<br>

<br>

HP CM8060 Color Multifunction Printer with Edgeline<br>

 No update required<br>

 Code signing not available<br>

<br>

HP LaserJet 9040<br>

 No update required<br>

 20111213 08.220.1B or later<br>

<br>

HP LaserJet M9040 Multifunction Printer<br>

 No update required<br>

 20111212 51.190.1B or later<br>

<br>

HP LaserJet 9050<br>

 No update required<br>

 20111213 08.220.1B or later<br>

<br>

HP LaserJet M9050 Multifunction Printer<br>

 No update required<br>

 20111212 51.190.1B or later<br>

<br>

HP 9200c Digital Sender<br>

 No update required<br>

 Code signing not available<br>

<br>

HP 9250c Digital Sender<br>

 No update required<br>

 20111219 48.230.0B or later<br>

<br>

HP Color LaserJet 9500<br>

 No update required<br>

 Code signing not available<br>

<br>

How to Disable the Remote Firmware Update (RFU)<br>

<br>

For instructions about how to disable the RFU please refer to the<br>

following document: Configuring Remote Firmware Update on HP Printers<br>

and Multifunction Devices<br>

<br>

The document is available using ftp:<br>

<br>

<a href="http://ftp.usa.hp.com" target="_blank">ftp.usa.hp.com</a><br>

account: sb02728<br>

password: Secure12<br>

<br>

or<br>

<br>

<a href="ftp://sb02728:Secure12@ftp.usa.hp.com/" target="_blank">ftp://sb02728:Secure12@ftp.usa.hp.com/</a><br>

<br>

File name: Configuring Remote Firmware Update on HP Printing Devices.pdf<br>

<br>

How to Download a Firmware Update<br>

<br>

The table above contains links for required firmware updates. Firmware<br>

updates for any of the products can also be downloaded as follows.<br>

<br>

Browse to <a href="http://www.hp.com/go/support" target="_blank">www.hp.com/go/support</a> then:<br>

<br>

Select "Drivers & Software"<br>

Enter the product name listed in the table above into the search field<br>

Click on "Search"<br>

If the search returns a list of products click on the appropriate product<br>

Under "Select operating system" click on "Cross operating system (BIOS,<br>

Firmware, Diagnostics, etc.)"<br>

If the "Cross operating system ..." link is not present, select any<br>

Windows operating system from the list.<br>

Select the appropriate firmware update under "Firmware"<br>

<br>

HISTORY<br>

Version:1 (rev.1) - 30 November 2011 Initial release<br>

Version:2 (rev.2) - 23 December 2011 Code signing firmware available<br>

Version:3 (rev.3) - 9 January 2012 Combined tables<br>

<br>

Third Party Security Patches: Third party security patches that are to<br>

be installed on systems running HP software products should be applied<br>

in accordance with the customer's patch management policy.<br>

<br>

Support: For issues about implementing the recommendations of this<br>

Security Bulletin, contact normal HP Services support channel.  For<br>

other issues about the content of this Security Bulletin, send e-mail to<br>

<a href="javascript:;" onclick="_e(event, 'cvml', 'security-alert@hp.com')">security-alert@hp.com</a>.<br>

<br>

Report: To report a potential security vulnerability with any HP<br>

supported product, send Email to: <a href="javascript:;" onclick="_e(event, 'cvml', 'security-alert@hp.com')">security-alert@hp.com</a><br>

<br>

Subscribe: To initiate a subscription to receive future HP Security<br>

Bulletin alerts via Email:<br>

<a href="http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins" target="_blank">http://h41183.www4.hp.com/signup_alerts.php?jumpid=hpsc_secbulletins</a><br>

<br>

Security Bulletin List: A list of HP Security Bulletins, updated<br>

periodically, is contained in HP Security Notice HPSN-2011-001:<br>

<a href="https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02964430" target="_blank">https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02964430</a><br>

<br>

Security Bulletin Archive: A list of recently released Security<br>

Bulletins is available here:<br>

<a href="http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive/" target="_blank">http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive/</a><br>

<br>

Software Product Category: The Software Product Category is represented<br>

in the title by the two characters following HPSB.<br>

<br>

3C = 3COM<br>

3P = 3rd Party Software<br>

GN = HP General Software<br>

HF = HP Hardware and Firmware<br>

MP = MPE/iX<br>

MU = Multi-Platform Software<br>

NS = NonStop Servers<br>

OV = OpenVMS<br>

PI = Printing and Imaging<br>

PV = ProCurve<br>

ST = Storage Software<br>

TU = Tru64 UNIX<br>

UX = HP-UX<br>

<br>

Copyright 2012 Hewlett-Packard Development Company, L.P.<br>

Hewlett-Packard Company shall not be liable for technical or editorial<br>

errors or omissions contained herein. The information provided is<br>

provided "as is" without warranty of any kind. To the extent permitted<br>

by law, neither HP or its affiliates, subcontractors or suppliers will<br>

be liable for incidental,special or consequential damages including<br>

downtime cost; lost profits;damages relating to the procurement of<br>

substitute products or services; or damages for loss of data, or<br>

software restoration. The information in this document is subject to<br>

change without notice. Hewlett-Packard Company and the names of<br>

Hewlett-Packard products referenced herein are trademarks of<br>

Hewlett-Packard Company in the United States and other countries. Other<br>

product and company names mentioned herein may be trademarks of their<br>

respective owners.<br>

_______________________________________________<br>

Seguridad mailing list<br>

<a href="javascript:;" onclick="_e(event, 'cvml', 'Seguridad@lacnic.net')">Seguridad@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>

</blockquote>