Ασφάλεια προϊόντος
Σε αυτήν τη σελίδα θα βρείτε σημαντικές πληροφορίες σχετικά με την ασφάλεια της Canon
Ενημέρωση
-
Σε ορισμένα προγράμματα οδήγησης εκτυπωτών εντοπίστηκε μια «εκτός ορίων» ευπάθεια, η οποία θα μπορούσε δυνητικά να επηρεάσει πολλούς εκτυπωτές μεγάλου τιράζ, πολυλειτουργικούς εκτυπωτές γραφείου/μικρών γραφείων και εκτυπωτές λέιζερ της Canon. Αυτή η ευπάθεια θα μπορούσε να προκαλέσει πρόβλημα ασφάλειας, όπως την απόρριψη εκτύπωσης σε περίπτωση επεξεργασίας μιας κακόβουλης εργασίας εκτύπωσης από ένα ευάλωτο πρόγραμμα οδήγησης εκτυπωτή. Υπάρχει επίσης το ενδεχόμενο εκτέλεσης αυθαίρετου κώδικα κατά την επεξεργασία της εκτύπωσης από ένα πρόγραμμα οδήγησης εκτύπωσης που έχει επηρεαστεί.
Καθώς η ασφάλεια της υποδομής εκτύπωσης των πελατών μας είναι εξαιρετικά σημαντική, ένα ενημερωμένο πρόγραμμα οδήγησης εκτυπωτή, για τα προγράμματα οδήγησης V3.15 και τις μεταγενέστερες εκδόσεις, είναι πλέον διαθέσιμο στις σελίδες υποστήριξης επαγγελματιών της Canon Europe, καθώς και στις τοπικές σελίδες. Συνιστάται στους πελάτες να κατεβάζουν αυτό το νέο λογισμικό για επιδιόρθωση του προβλήματος. Δείτε περισσότερες λεπτομέρειες παρακάτω.
CVE/CVSS
CVE-2025-1268: Ευπάθεια «εκτός ορίων» κατά την επεξεργασία ανακωδικοποίησης EMF επηρεαζόμενου προγράμματος οδήγησης εκτυπωτή.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N (Βαθμολογία βάσης: 9,3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L (Βαθμολογία βάσης: 9,4).
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
Η Canon θα ήθελε να ευχαριστήσει τους παρακάτω ερευνητές για τον εντοπισμό αυτών των ευπαθειών:
- CVE-2025-1268: Robert Ord σε συνεργασία με την Ομάδα Ερευνών Επιθετικής Ασφάλειας και Μηχανικής της Microsoft (MORSE)
Ιστορικό ενημερώσεων
17 Απριλίου 2025: Προστέθηκε επηρεαζόμενο πρόγραμμα οδήγησης εκτυπωτή (Γενικό πρόγραμμα οδήγησης ΦΑΞ) στον σύνδεσμο
28 Μαρτίου 2025: Δημιουργήθηκε
-
Εντοπίστηκαν «εκτός ορίων» ευπάθειες για ορισμένα προγράμματα οδήγησης για πολυλειτουργικούς εκτυπωτές και εκτυπωτές λέιζερ γραφείου/μικρών γραφείων, οι οποίες ενδέχεται να εμποδίζουν την εκτύπωση όταν εκτυπώνεται ένα έγγραφο XPS.
CVE/CVSS
CVE-2025-0234: Ευπάθεια «εκτός ορίων» κατά την επεξεργασία τμηματοποίησης καμπύλης του επηρεαζόμενου προγράμματος οδήγησης εκτυπωτή.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Βαθμολογία βάσης: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Βαθμολογία βάσης: 5,3).
CVE-2025-0235: Ευπάθεια «εκτός ορίων» λόγω ακατάλληλης έκδοσης μνήμης κατά την απόδοση εικόνας στο επηρεαζόμενο πρόγραμμα οδήγησης εκτυπωτή.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Βαθμολογία βάσης: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Βαθμολογία βάσης: 5,3).
CVE-2025-0236: Ευπάθεια «εκτός ορίων» κατά την επεξεργασία κλίσης κατά την απόδοση καμπύλης στο επηρεαζόμενο πρόγραμμα οδήγησης εκτυπωτή.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Βαθμολογία βάσης: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Βαθμολογία βάσης: 5,3).
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
Η Canon θα ήθελε να ευχαριστήσει τους παρακάτω ερευνητές για τον εντοπισμό αυτών των ευπαθειών:
- CVE-2025-0234, CVE-2025-0235 και CVE-2025-0236: devoke@HUST, wh1tc και Zhiniang Peng (@edwardzpeng) σε συνεργασία με την Ομάδα ασφάλειας Kap0k
-
Έχουν εντοπιστεί αρκετές ευπάθειες που αφορούν ορισμένους μικρούς εκτυπωτές γραφείου πολλαπλών λειτουργιών και εκτυπωτές λέιζερ.
Αυτές οι ευπάθειες υποδηλώνουν ότι, αν ένα προϊόν συνδεθεί απευθείας στο Internet χωρίς τη χρήση δρομολογητή (ενσύρματο ή Wi-Fi), υπάρχει πιθανότητα ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας να μπορεί να εκτελέσει αυθαίρετο κώδικα στη συσκευή. Ο εισβολέας μπορεί επίσης να στοχεύσει το προϊόν με μια επίθεση άρνησης υπηρεσίας (DoS) μέσω Internet.
<Υπερχείλιση ενδιάμεσης μονάδας μεταφοράς>
CVE-2024-12647
CVE-2024-12648
CVE-2024-12649Δεν υπάρχουν αναφορές για εκμετάλλευση των εν λόγω ευπαθειών. Ωστόσο, για τη βελτίωση της ασφάλειας του προϊόντος, συνιστούμε στους πελάτες μας να εγκαταστήσουν το πιο πρόσφατο firmware που είναι διαθέσιμο για τα επηρεαζόμενα μοντέλα, το οποίο παρέχεται παρακάτω. Συνιστούμε επίσης στους πελάτες να ορίσουν μια ιδιωτική διεύθυνση IP για τα προϊόντα τους και να δημιουργήσουν ένα περιβάλλον δικτύου με τείχος προστασίας ή ενσύρματο δρομολογητή/δρομολογητή Wi-Fi που μπορεί να περιορίσει την πρόσβαση στο δίκτυο.
Για περισσότερες λεπτομέρειες σχετικά με την ασφάλεια των προϊόντων όταν είναι συνδεδεμένα σε δίκτυο, επισκεφθείτε την Ασφάλεια προϊόντων.
Θα συνεχίσουμε να ενισχύουμε περαιτέρω τα μέτρα ασφαλείας μας, ώστε να διασφαλίσουμε ότι μπορείτε να συνεχίσετε να χρησιμοποιείτε τα προϊόντα Canon με αίσθηση σιγουριάς. Αν εντοπιστούν ευπάθειες σε άλλα προϊόντα, θα ενημερώσουμε αυτό το άρθρο.
Δείτε ποια μοντέλα επηρεάζονται.
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
Η Canon θα ήθελε να ευχαριστήσει τους παρακάτω ερευνητές για τον εντοπισμό αυτών των ευπαθειών:
- CVE-2024-12647: ExLuck (@ExLuck99) από ANHTUD που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2024-12648: Neodyme (@Neodyme) που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2024-12649: PHP Hooligans / Midnight Blue (@midnightbluelab) που συνεργάζεται με τη Zero Day Initiative της Trend Micro
-
Διαπιστώθηκε πιθανό ζήτημα μοναδικότητας μιας ταυτότητας στις συσκευές ανάγνωσης καρτών που άλλαξαν επωνυμία από την NT-ware (αρχικά είχαν αναπτυχθεί και παρασχεθεί από την rf IDEAS) και εκδόθηκε η CVE-2024-1578.
Αν και δεν έχουμε λάβει καμία αναφορά εκμετάλλευσης, σας συνιστούμε να διαβάσετε τον σύνδεσμο με τις συμβουλές ασφαλείας.
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
Συμβουλή ασφάλειας: Απόρριψη πολλών χαρακτήρων στη συσκευή ανάγνωσης καρτών MiCard PLUS
-
Στο uniFLOW Online εντοπίστηκε πιθανό τρωτό σημείο παραβίασης αναφορικά με την καταχώριση συσκευών και κυκλοφόρησε το CVE-2024-1621.
Αν και δεν έχουμε λάβει καμία αναφορά εκμετάλλευσης, σας συνιστούμε να διαβάσετε τον σύνδεσμο με τις συμβουλές ασφαλείας.
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
Ενημερωτική οδηγία ασφαλείας: Η καταχώριση της συσκευής ενδέχεται να κινδυνεύει από παραβίαση
-
Εντοπίστηκε ευπάθεια υπερχείλισης της προσωρινής μνήμης κατά τη διαδικασία πρωτοκόλλου WSD για ορισμένους μικρούς εκτυπωτές γραφείου πολλαπλών λειτουργιών και εκτυπωτές λέιζερ.
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
-
Έχουν εντοπιστεί αρκετές ευπάθειες που αφορούν ορισμένους μικρούς εκτυπωτές γραφείου πολλαπλών λειτουργιών και εκτυπωτές λέιζερ.
Αυτές οι ευπάθειες υποδηλώνουν ότι, αν ένα προϊόν συνδεθεί απευθείας στο Internet χωρίς τη χρήση δρομολογητή (ενσύρματο ή Wi-Fi), υπάρχει πιθανότητα ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας να μπορεί να εκτελέσει αυθαίρετο κώδικα στη συσκευή. Ο εισβολέας μπορεί επίσης να στοχεύσει το προϊόν με μια επίθεση άρνησης υπηρεσίας (DoS) μέσω Internet.
<Υπερχείλιση ενδιάμεσης μονάδας μεταφοράς>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244Δεν υπάρχουν αναφορές για εκμετάλλευση των εν λόγω ευπαθειών. Ωστόσο, για τη βελτίωση της ασφάλειας του προϊόντος, συνιστούμε στους πελάτες μας να εγκαταστήσουν το πιο πρόσφατο firmware που είναι διαθέσιμο για τα επηρεαζόμενα μοντέλα, το οποίο παρέχεται παρακάτω. Συνιστούμε επίσης στους πελάτες να ορίσουν μια ιδιωτική διεύθυνση IP για τα προϊόντα τους και να δημιουργήσουν ένα περιβάλλον δικτύου με τείχος προστασίας ή ενσύρματο δρομολογητή/δρομολογητή Wi-Fi που μπορεί να περιορίσει την πρόσβαση στο δίκτυο.
Για περισσότερες λεπτομέρειες σχετικά με την ασφάλεια των προϊόντων όταν είναι συνδεδεμένα σε δίκτυο, επισκεφθείτε την Ασφάλεια προϊόντων.
Θα συνεχίσουμε να ενισχύουμε περαιτέρω τα μέτρα ασφαλείας μας, ώστε να διασφαλίσουμε ότι μπορείτε να συνεχίσετε να χρησιμοποιείτε τα προϊόντα Canon με αίσθηση σιγουριάς. Αν εντοπιστούν ευπάθειες σε άλλα προϊόντα, θα ενημερώσουμε αυτό το άρθρο.
Δείτε ποια είναι τα επηρεαζόμενα μοντέλα.
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
Η Canon θα ήθελε να ευχαριστήσει τους παρακάτω ερευνητές για τον εντοπισμό αυτών των ευπαθειών:
- CVE-2023-6229: Nguyen Quoc (Viet) που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-6230: Ανώνυμος ερευνητής που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-6231: Ομάδα Viettel που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-6232: ANHTUD που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-6233: ANHTUD που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-6234: Ομάδα Viettel που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2024-0244: Connor Ford (@ByteInsight) από τη Nettitude που συνεργάζεται με τη Zero Day Initiative της Trend Micro
-
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
-
Περιγραφή
Έχουν εντοπιστεί δύο ευπάθειες για το εργαλείο IJ Network (εφεξής, το Λογισμικό). Αυτές οι ευπάθειες υποδηλώνουν ότι, αν ένας εισβολέας είναι συνδεδεμένος στο ίδιο δίκτυο με τον εκτυπωτή, μπορεί να αποκτήσει ευαίσθητες πληροφορίες σχετικά με τη ρύθμιση σύνδεσης Wi-Fi του εκτυπωτή χρησιμοποιώντας το λογισμικό ή ανατρέχοντας στην επικοινωνία του.
CVE/CVSS
CVE-2023-1763: Απόκτηση ευαίσθητων πληροφοριών σχετικά με τη ρύθμιση σύνδεσης Wi-Fi του εκτυπωτή χρησιμοποιώντας το λογισμικό. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Βασική βαθμολογία: 6,5.
CVE-2023-1764: Απόκτηση ευαίσθητων πληροφοριών σχετικά με τη ρύθμιση σύνδεσης Wi-Fi του εκτυπωτή από την επικοινωνία του λογισμικού. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Βασική βαθμολογία: 6,5.
Επηρεαζόμενα προϊόντα
Τα παρακάτω μοντέλα επηρεάζονται από το CVE-2023-1763:
Εργαλείο Mac Network:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Ασύρματος διακομιστής εκτύπωσης WP-20
Εργαλείο Windows Network:
Δεν ισχύει
Τα παρακάτω μοντέλα επηρεάζονται από το CVE-2023-1764:
Εργαλείο Mac Network:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Ασύρματος διακομιστής εκτύπωσης WP-20
Εργαλείο Windows Network:
MAXIFY iB4040, MAXIFY iB4050
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Ασύρματος διακομιστής εκτύπωσης WP-20
Επηρεαζόμενες εκδόσεις
Οι παρακάτω εκδόσεις επηρεάζονται από το CVE-2023-1763:
Εργαλείο Mac Network:
Έκδ. 4.7.5 ή παλαιότερη (υποστηριζόμενο λειτουργικό σύστημα: OS X 10.9.5-macOS 13)
Έκδ. 4.7.3 ή παλαιότερη (υποστηριζόμενο λειτουργικό σύστημα: OS X 10.7.5-OS X 10.8)
Εργαλείο Windows Network:
Δεν ισχύει
Οι παρακάτω εκδόσεις επηρεάζονται από το CVE-2023-1764:
Εργαλείο Mac Network:
Έκδ. 4.7.5 ή παλαιότερη (υποστηριζόμενο λειτουργικό σύστημα: OS X 10.9.5-macOS 13)
Έκδ. 4.7.3 ή παλαιότερη (υποστηριζόμενο λειτουργικό σύστημα: OS X 10.7.5-OS X 10.8)
Εργαλείο Windows Network:
Έκδ. 3.7.0
Μετριασμός/αποκατάσταση
Για το CVE-2023-1763:
Η λύση για αυτήν την ευπάθεια είναι η χρήση εκτυπωτών με αξιόπιστη σύνδεση δικτύου. Ανατρέξτε εδώ για την "Ασφάλεια σύνδεσης προϊόντος σε δίκτυο".
Επιπλέον, για το εργαλείο Mac Network, κατεβάστε τις ενημερωμένες εκδόσεις λογισμικού που έχουν κυκλοφορήσει.
Για να δείτε τα βήματα ενημέρωσης του λογισμικού για τους εκτυπωτές inkjet MAXIFY και PIXMA στην έκδοση 4.7.6 (υποστηριζόμενα λειτουργικά συστήματα: OS X 10.9.5-macOS 13) ή στην έκδοση 4.7.4 (υποστηριζόμενα λειτουργικά συστήματα: OS X 10.7.5-OS X 10.8), επισκεφθείτε τη σελίδα λήψης λογισμικού στην Υποστήριξη καταναλωτικών προϊόντων και επιλέξτε το μοντέλο σας. Πηγαίνετε στην καρτέλα «Λογισμικό» και επιλέξτε «Εργαλείο IJ Network» ή «Βοηθός σύνδεσης Wi-Fi».
Για το CVE-2023-1764:
Η λύση για αυτήν την ευπάθεια είναι η χρήση εκτυπωτών με αξιόπιστη σύνδεση δικτύου. Ανατρέξτε εδώ για την "Ασφάλεια σύνδεσης προϊόντος σε δίκτυο".
Ευχαριστίες
Η Canon θα ήθελε να ευχαριστήσει το Εθνικό Κέντρο Κυβερνοασφάλειας της Ολλανδίας για την αναφορά αυτών των ευπαθειών.
-
Έχουν εντοπιστεί αρκετές ευπάθειες που αφορούν ορισμένους μικρούς/κανονικού μεγέθους εκτυπωτές γραφείου πολλαπλών λειτουργιών, εκτυπωτές λέιζερ και εκτυπωτές inkjet.
Αυτές οι ευπάθειες υποδηλώνουν ότι, αν ένα προϊόν συνδεθεί απευθείας στο Internet χωρίς τη χρήση δρομολογητή (ενσύρματο ή Wi-Fi), υπάρχει πιθανότητα ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας να μπορεί να εκτελέσει αυθαίρετο κώδικα στη συσκευή. Ο εισβολέας μπορεί επίσης να στοχεύσει το προϊόν με μια επίθεση άρνησης υπηρεσίας (DoS) μέσω Internet. Ένας εισβολέας μπορεί επίσης να είναι σε θέση να εγκαταστήσει αυθαίρετα αρχεία λόγω ακατάλληλου ελέγχου ταυτότητας του RemoteUI.
<Υπερχείλιση ενδιάμεσης μονάδας μεταφοράς>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974<Προβλήματα κατά την αρχική καταχώριση των διαχειριστών συστήματος σε πρωτόκολλα ελέγχου>
CVE-2023-0857<Ακατάλληλος έλεγχος ταυτότητας του RemoteUI>
CVE-2023-0858<Εγκατάσταση αυθαίρετων αρχείων>
CVE-2023-0859Δεν υπάρχουν αναφορές για εκμετάλλευση των εν λόγω ευπαθειών. Ωστόσο, για τη βελτίωση της ασφάλειας του προϊόντος, συνιστούμε στους πελάτες μας να εγκαταστήσουν το πιο πρόσφατο firmware που είναι διαθέσιμο για τα επηρεαζόμενα μοντέλα, το οποίο παρέχεται παρακάτω. Συνιστούμε επίσης στους πελάτες να ορίσουν μια ιδιωτική διεύθυνση IP για τα προϊόντα τους και να δημιουργήσουν ένα περιβάλλον δικτύου με τείχος προστασίας ή ενσύρματο δρομολογητή/δρομολογητή Wi-Fi που μπορεί να περιορίσει την πρόσβαση στο δίκτυο.
Για περισσότερες λεπτομέρειες σχετικά με την ασφάλεια των προϊόντων όταν είναι συνδεδεμένα σε δίκτυο, επισκεφθείτε την Ασφάλεια προϊόντων.
Θα συνεχίσουμε να ενισχύουμε περαιτέρω τα μέτρα ασφαλείας μας, ώστε να διασφαλίσουμε ότι μπορείτε να συνεχίσετε να χρησιμοποιείτε τα προϊόντα Canon με αίσθηση σιγουριάς. Αν εντοπιστούν ευπάθειες σε άλλα προϊόντα, θα ενημερώσουμε αυτό το άρθρο.
Δείτε ποια είναι τα επηρεαζόμενα μοντέλα.
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
Για να δείτε τα βήματα ενημέρωσης του firmware για τους εκτυπωτές inkjet MAXIFY, PIXMA και imagePROGRAF, ανατρέξτε στο Ηλεκτρονικό εγχειρίδιο.
Η Canon θα ήθελε να ευχαριστήσει τους παρακάτω ερευνητές για τον εντοπισμό αυτών των ευπαθειών:
- CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD που συνεργάζονται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0852: R-SEC, Nettitude που συνεργάζονται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0853: DEVCORE που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0854: DEVCORE που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0855: Chi Tran που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0856: Ομάδα Viettel που συνεργάζεται με τη Zero Day Initiative της Trend Micro
- CVE-2023-0857: Alex Rubin και Martin Rakhmanov
- CVE-2023-0858: Alex Rubin και Martin Rakhmanov
- CVE-2023-0859: Alex Rubin και Martin Rakhmanov
-
Εντοπίστηκε πιθανή ευπάθεια έκθεση δεδομένων στον διακομιστή uniFLOW και στον διακομιστή απομακρυσμένης εκτύπωσης uniFLOW.
Αν και δεν έχουμε λάβει καμία αναφορά εκμετάλλευσης, σας συνιστούμε να αναβαθμίσετε την εφαρμογή σας στην τελευταία έκδοση.
Λεπτομέρειες σχετικά με την ευπάθεια, τον μετριασμό και την αποκατάσταση μπορείτε να βρείτε στη διεύθυνση:
Συμβουλές ασφαλείας: Ευπάθεια τεχνικής υποστήριξης MOM - Υποστήριξη NT-ware
-
Έχουν εντοπιστεί πολλές ευπάθειες υπερχείλισης της ενδιάμεσης μονάδας μεταφοράς στους εκτυπωτές λέιζερ και στα πολυμηχανήματα για μικρά γραφεία της Canon.
Αν και δεν έχουμε λάβει καμία αναφορά εκμετάλλευσης, σας συνιστούμε να αναβαθμίσετε το firmware της συσκευής σας στην τελευταία έκδοση.
Αυτή η ευπάθεια υποδηλώνει ότι αν ένα προϊόν είναι συνδεδεμένο απευθείας στο Internet χωρίς τη χρήση ενσύρματου δρομολογητή ή δρομολογητή Wi-Fi, κάποιο τρίτο μέρος στο Internet μπορεί να προβεί σε εκτέλεση αυθαίρετου κώδικα ή το προϊόν μπορεί να υποστεί επίθεση που αφορά άρνηση υπηρεσίας (DoS).
Δεν συνιστάται η απευθείας σύνδεση στο Internet. Χρησιμοποιήστε μια ιδιωτική διεύθυνση IP σε ένα ασφαλές ιδιωτικό δίκτυο που έχει διαμορφωθεί με τείχος προστασίας ή ενσύρματο δρομολογητή/δρομολογητή WiFi. Ανατρέξτε στη διεύθυνση www.canon-europe.com/support/product-security σχετικά με την «ασφάλεια προϊόντος που είναι συνδεδεμένο σε δίκτυο».
Θα συνεχίσουμε να ενισχύουμε περαιτέρω τα μέτρα ασφαλείας μας, ώστε να διασφαλίσουμε ότι μπορείτε να συνεχίσετε να χρησιμοποιείτε τα προϊόντα Canon με αίσθηση σιγουριάς. Εάν εντοπιστεί ευπάθεια σε άλλα προϊόντα, θα ενημερώσουμε αυτό το άρθρο.
Δείτε ποια είναι τα επηρεαζόμενα μοντέλα.
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
Η Canon θα ήθελε να ευχαριστήσει τον παρακάτω ερευνητή για τον εντοπισμό αυτής της ευπάθειας.
- CVE-2022-43608: Angelboy (@scwuaptx) από την ερευνητική ομάδα του DEVCORE που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της Trend Micro
-
Έχουν εντοπιστεί πολλές ευπάθειες υπερχείλισης της ενδιάμεσης μονάδας μεταφοράς στους εκτυπωτές λέιζερ και στα πολυμηχανήματα για μικρά γραφεία της Canon. Σχετικά CVE: CVE-2022-24672, CVE-2022-24673 και CVE-2022-24674. Ακολουθεί μια λίστα με τα επηρεαζόμενα μοντέλα.
Αν και δεν έχουμε λάβει καμία αναφορά εκμετάλλευσης, αναβαθμίσετε το firmware της συσκευής στην τελευταία έκδοση.
Αυτή η ευπάθεια υποδηλώνει την πιθανότητα αν ένα προϊόν είναι συνδεδεμένο απευθείας στο Internet χωρίς τη χρήση ενσύρματου δρομολογητή ή δρομολογητή Wi-Fi, κάποιο τρίτο μέρος στο Internet ενδέχεται να προβεί σε εκτέλεση αυθαίρετου κώδικα ή το προϊόν μπορεί να υποστεί επίθεση που αφορά άρνηση υπηρεσίας (DoS).
Δεν συνιστάται η απευθείας σύνδεση στο Internet. Χρησιμοποιήστε μια ιδιωτική διεύθυνση IP σε ένα ασφαλές ιδιωτικό δίκτυο που έχει διαμορφωθεί με τείχος προστασίας ή ενσύρματο δρομολογητή/δρομολογητή WiFi. Ανατρέξτε στη διεύθυνση www.canon-europe.com/support/product-security σχετικά με την «ασφάλεια προϊόντος που είναι συνδεδεμένο σε δίκτυο».
Θα συνεχίσουμε να εργαζόμαστε για να ενισχύουμε περαιτέρω τα μέτρα ασφαλείας μας, ώστε να διασφαλίσουμε ότι μπορείτε να συνεχίσετε να χρησιμοποιείτε τα προϊόντα Canon με αίσθηση σιγουριάς. Εάν εντοπιστούν ευπάθειες σε άλλα προϊόντα, θα ενημερώσουμε άμεσα αυτό το άρθρο.
Οι εκτυπωτές λέιζερ και τα πολυμηχανήματα για μικρά γραφεία για τα οποία απαιτούνται μέτρα αντιμετώπισης είναι τα εξής:
imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
Η CANON θα ήθελε να ευχαριστήσει τα παρακάτω άτομα για τον εντοπισμό αυτής της ευπάθειας.
- CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Julian (@netsecurity1), Thomas Jeunet (@cleptho), από το @Synacktiv που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της Trend Micro
- CVE-2022-24673: Angelboy (@scwuaptx) από την ερευνητική ομάδα του DEVCORE που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της Trend Micro
- CVE-2022-24674: Nicolas Devillers ( @nikaiw ), Jean-Romain Garnier and Raphael Rigo ( @_trou_ ) που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της Trend Micro
-
Μια εφαρμογή Spring MVC ή Spring WebFlux που εκτελείται στο JDK 9+ ενδέχεται να είναι ευάλωτη σε απομακρυσμένη εκτέλεση κώδικα (RCE) μέσω σύνδεσης δεδομένων. Η συγκεκριμένη εκμετάλλευση απαιτεί η εφαρμογή να εκτελείται στο Tomcat ως ανάπτυξη WAR (αρχείο web). Εάν η εφαρμογή αναπτυχθεί ως εκτελέσιμο αρχείο .jar (Java archive) στο Spring Boot, δηλ. το προεπιλεγμένο, δεν είναι ευάλωτη για εκμετάλλευση. Ωστόσο, η φύση της ευπάθειας είναι πιο γενική και μπορεί να υπάρχουν και άλλοι τρόποι εκμετάλλευσης. Το κακόβουλο αρχείο κλάσης μπορεί να κάνει σχεδόν τα πάντα: διαρροή δεδομένων ή μυστικών, εκκίνηση άλλου λογισμικού, όπως λογισμικό ransomware, ανάσυρση κρυπτονομισμάτων, τοποθέτηση κερκόπορτας (backdoor) ή δημιουργία ενός steppingstone σε ένα δίκτυο.
https://cpp.canon/products-technologies/security/latest-news/
Σκοπός αυτής της σελίδας είναι να παραθέσει τα προϊόντα Canon Production Printing (CPP) που ενδέχεται να επηρεαστούν από τις παρακάτω αναφορές CVE:
- CVE-2022-22947
- CVE-2022-22950
- CVE-2022-22963
- CVE-2022-22965
Ο παρακάτω πίνακας παρέχει την κατάσταση ευπάθειας για τα προϊόντα υλικού και λογισμικού Canon Production Printing που περιλαμβάνονται στη λίστα. Ελέγχετε τακτικά για να ενημερώνεστε σχετικά με την ενημερωμένη κατάσταση.
Προϊόντα που αξιολογήθηκαν και κατάσταση
CTS – Cutsheet and Toner Systems (Συστήματα γραφίτη και μεμονωμένων φύλλων) / Πιεστήριο inkjet με τροφοδοσία μεμονωμένων φύλλων
Προϊόντα
Κατάσταση
Προϊόντα βάσει διακομιστή εκτύπωσης PRISMAsync
Δεν επηρεάζεται
Σειρά varioPRINT 140
Δεν επηρεάζεται
Σειρά varioPRINT 6000
Δεν επηρεάζεται
Σειρά varioPRINT i
Δεν επηρεάζεται
Σειρά varioPRINT iX
Δεν επηρεάζεται
Σταθμός ελέγχου συντήρησης (SCS) για τις σειρές VPi300 και VPiX
Δεν επηρεάζεται
Tablet για τις σειρές VPi300 και VPiX
Δεν επηρεάζεται
Προσομοιωτής PRISMAsync i300/iX
Δεν επηρεάζεται
PRISMAprepare V6
Δεν επηρεάζεται
PRISMAprepare V7
Δεν επηρεάζεται
PRISMAprepare V8
Δεν επηρεάζεται
PRISMAdirect V1
Δεν επηρεάζεται
PRISMAprofiler
Δεν επηρεάζεται
PRISMA Cloud
PRISMA Home
PRISMAprepare Go
PRISMAlytics Accounting
Δεν επηρεάζεται
PPP – Προϊόντα εκτυπώσεων μεγάλου τιράζ
Προϊόντα
Κατάσταση
ColorStream 3×00
ColorStream 3x00Z
Δεν επηρεάζεται
ColorStream 6000
Δεν επηρεάζεται
ColorStream 8000
Δεν επηρεάζεται
ProStream 1×00
Δεν επηρεάζεται
Σειρά LabelStream 4000
Δεν επηρεάζεται
ImageStream
Δεν επηρεάζεται
JetStream V1
JetStream V2
Δεν επηρεάζεται
VarioStream 4000
Δεν επηρεάζεται
Σειρά VarioStream 7000
Δεν επηρεάζεται
VarioStream 8000
Δεν επηρεάζεται
Διακομιστής PRISMAproduction V5
Δεν επηρεάζεται
PRISMAproduction Host
Δεν επηρεάζεται
PRISMAcontrol
Δεν επηρεάζεται
PRISMAspool
Δεν επηρεάζεται
PRISMAsimulate
Νέα διαθέσιμη έκδοση*
TrueProof
Δεν επηρεάζεται
DocSetter
Δεν επηρεάζεται
DPconvert
Δεν επηρεάζεται
* Επικοινωνήστε με τον τοπικό αντιπρόσωπο υπηρεσιών της Canon
LFG – Γραφικά μεγάλου μεγέθους
Προϊόντα
Κατάσταση
Σειρά Arizona
υπό έρευνα
Σειρά Colorado
Δεν επηρεάζεται
ONYX HUB
υπό έρευνα
ONYX Thrive
υπό έρευνα
ONYX ProductionHouse
υπό έρευνα
TDS – Συστήματα τεχνικής τεκμηρίωσης
Προϊόντα
Κατάσταση
Σειρά TDS
Δεν επηρεάζεται
Σειρά PlotWave
Δεν επηρεάζεται
Σειρά ColorWave
Δεν επηρεάζεται
Scanner Professional
Δεν επηρεάζεται
Driver Select, Driver Express, Publisher Mobile
Δεν επηρεάζεται
Publisher Select
Δεν επηρεάζεται
Account Console
Δεν επηρεάζεται
Repro Desk
Δεν επηρεάζεται
Εργαλεία υπηρεσιών και υποστήριξης
Προϊόντα
Κατάσταση
Υπηρεσία εξυπηρέτησης από απόσταση
Δεν επηρεάζεται
-
Έχει επιβεβαιωθεί μια ευπάθεια στη διαδικασία δημιουργίας κλειδιού RSA στη βιβλιοθήκη κρυπτογράφησης που είναι εγκατεστημένη στα πολυμηχανήματα για εταιρείες/μικρά γραφεία, εκτυπωτές λέιζερ και εκτυπωτές Inkjet της Canon. Ακολουθεί μια πλήρης λίστα με τα επηρεαζόμενα προϊόντα.
Ο κίνδυνος αυτής της ευπάθειας είναι η πιθανότητα να εκτιμηθεί από κάποιον το ιδιωτικό κλειδί για το δημόσιο κλειδί RSA, λόγω ζητημάτων στη διαδικασία δημιουργίας του ζεύγους κλειδιών RSA.
Εάν το ζεύγος κλειδιών RSA χρησιμοποιείται για τα TLS ή IPSec, δημιουργείται από μια κρυπτογραφική βιβλιοθήκη με αυτή την ευπάθεια, αυτό το δημόσιο κλειδί RSA μπορεί να ληφθεί από τρίτο μέρος ή ακόμα και να είναι πλαστό.Μέχρι στιγμής, δεν έχουμε λάβει καμία αναφορά συμβάντος σχετικά με αυτή την ευπάθεια και οι χρήστες μπορούν να είναι ήσυχοι, εφόσον το firmware των επηρεαζόμενων προϊόντων επιλύεται
Όταν το ζεύγος κλειδιών RSA δημιουργήθηκε από τη κρυπτογραφική βιβλιοθήκη με αυτή την ευπάθεια, απαιτούνται πρόσθετα βήματα μετά την ενημέρωση του firmware. Ανάλογα με το επηρεαζόμενο προϊόν, ανατρέξτε στα Βήματα ελέγχου κλειδιού και μέτρων που πρέπει να ληφθούν, που περιγράφονται παρακάτω, για να εκτελέσετε τη σωστή ενέργεια.
Επιπλέον, μην συνδέετε τα προϊόντα απευθείας στο Internet, αλλά χρησιμοποιήστε τείχος προστασίας, περιβάλλον ασύρματης σύνδεσης ή ασφαλές περιβάλλον ιδιωτικού δικτύου, εάν χρησιμοποιείτε δρομολογητή Wi-Fi. Ορίστε επίσης μια ιδιωτική διεύθυνση IP.
Για λεπτομέρειες, ανατρέξτε στην ενότητα Προστασία προϊόντων κατά τη σύνδεση σε δίκτυο.
Πολυμηχανήματα για εταιρείες/μικρά γραφεία, εκτυπωτές λέιζερ και εκτυπωτές Inkjet για οποία απαιτείται η λήψη μέτρων.
imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300,PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538PΒήματα για τον έλεγχο και την επίλυση για το κλειδί εκτυπωτών Inkjet
Επισκεφθείτε την Υποστήριξη για πληροφορίες σχετικά με το firmware, το λογισμικό και την υποστήριξη προϊόντων.
-
Προς το παρόν, διερευνούμε τον αντίκτυπο της ευπάθειας "Log4j" https://logging.apache.org/log4j/2.x/security.html στα προϊόντα Canon. Όταν προκύπτουν νέες πληροφορίες, θα ενημερώνουμε αυτό το άρθρο.
Ο παρακάτω πίνακας παρέχει την κατάσταση ευπάθειας για τα προϊόντα υλικού και λογισμικού που περιλαμβάνονται στη λίστα. Ελέγχετε τακτικά τη σελίδα.
Προϊόν
Κατάσταση/δήλωση
Canon
• imageRUNNER
• imageRUNNER ADVANCE
• imagePRESS
• i-SENSYS
• i-SENSYS X
• imagePROGRAF
• imageFORMULA
Αυτές οι συσκευές δεν επηρεάζονται.
Canon
• imageWARE Management Console
• imageWARE Enterprise Management Console
• eMaintenance Optimiser
• eMaintenance Universal Gateway
• Canon Data Collection Agent
• Remote Support Operator Kit
• Content Delivery Service
• Device Settings Configurator
• Canon Reporting Service Online
• OS400 Object Generator
• Πρόγραμμα οδήγησης CQue
• Πρόγραμμα οδήγησης SQue
Το λογισμικό δεν επηρεάζεται.
Εκτυπωτές Canon μεγάλου τιράζ
• Συστήματα γραφίτη και μεμονωμένων φύλλων PRISMA
• Συνεχής εκτύπωση
• Γραφικά μεγάλου μεγέθους
• Συστήματα τεχνικών εγγράφων
https://cpp.canon/products-technologies/security/latest-news/
NT-Ware
• uniFLOW
• uniFLOW Online
• uniFLOW Online Express
• uniFLOW sysHUB
• PRISMAsatellite
https://www.uniflow.global/en/security/security-and-maintenance/
Avantech
• Scan2x
• Scan2x Online
Cirrato
• Cirrato One
• Cirrato Embedded
Δεν επηρεάζεται.
Compart
• DocBridge Suite
DocsPro
• Ελεγκτής εισαγωγής
• Εισαγωγή XML
• Εισαγωγή email
• Γνωσιακή βάση
• Έκδοση γενικής δοκιμής
• Προηγμένο πρόγραμμα δημιουργίας PDF
• Σύνδεση εξαγωγής υπηρεσιών Web
Δεν επηρεάζεται.
Docuform
• Mercury Suite
Δεν επηρεάζεται.
Doxsense
• WES Pull Print 2.1
• WES Authentication 2.1
Δεν επηρεάζεται.
EFI
• Fiery
https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius bytes
• Genius MFP Canon Client
Ευπάθεια Log4j Zero Day - Genius Bytes
Δεν επηρεάζεται
IRIS
• IRISXtract
• IRISPowerscan
• Readiris PDF 22
• Readiris 16 & 17
• Cardiris
• IRISPulse
Kantar
• Discover Assessment Web Survey
Δεν επηρεάζεται.
Kofax
• PowerPDF
• eCopy ShareScan
• Robotic Process Automation
• Kofax Communication Manager Solution
Πληροφορίες σχετικά με την ευπάθεια στα προϊόντα Kofax και στο Apache Log4j2 - Kofax
Δεν επηρεάζεται.
Μέχρι να είναι έτοιμες οι ενημερώσεις κώδικα για το ShareScan, ακολουθήστε τα βήματα που περιγράφονται στο άρθρο Ευπάθεια στα ShareScan και Log4j (CVE-2021-44228) - Άρθρο Kofax.
Υπάρχουν διαθέσιμες ενημερώσεις κώδικα. Ανατρέξτε στο άρθρο Πληροφορίες για εκμετάλλευση ασφάλειας Kofax RPA CVE-2021-44228 log4j.
Υπάρχουν διαθέσιμες ενημερώσεις κώδικα. Ανατρέξτε στο άρθρο Ευπάθεια log4j στο Kofax Communications Manager.
Netaphor
• SiteAudit
Έκθεση ευπάθειας SiteAudit | Γνωσιακή βάση Netaphor SiteAudit(TM)
Netikus
• EventSentry
Επηρεάζεται το EventSentry από το Log4Shell Log4j RCE CVE-2021-44228; | EventSentry
Newfield
• Asset DB
Δεν επηρεάζεται.
Objectif Lune
• Connect
Προηγούμενες εκδόσεις του Objectif Lune Connect χρησιμοποιούσαν τη μονάδα log4j, αλλά καταργήθηκαν από το λογισμικό με την έκδοση του Objectif Lune Connect 2018.1. Εφόσον χρησιμοποιείτε μια έκδοση του Objectif Lune Connect που είναι η 2018.1 ή νεότερη, η ευπάθεια δεν υπάρχει.
OptimiDoc
• OptimiDoc
Overall
• Print In City
Δεν επηρεάζεται.
PaperCut
• PaperCut
Log4Shell (CVE-2021-44228) - Πώς επηρεάζεται το PaperCut; | PaperCut
Paper River
• TotalCopy
Δεν επηρεάζεται.
Ringdale
• FollowMe Embedded
Δεν επηρεάζεται.
Quadient
• Inspire Suite
Quadient University Log4J - Πληροφορίες για τους υπάρχοντες πελάτες
T5 Solutions
• TG-PLOT/CAD-RIP
Δεν επηρεάζεται.
Therefore
• Therefore
• Therefore Online
Westpole
• Intelligent Print Management
Δεν επηρεάζεται.
-
Εντοπίστηκε ευπάθεια αποτροπής επίθεσης μέσω δέσμης ενεργειών από άλλη τοποθεσία στη λειτουργία Remote UI των εκτυπωτών λέιζερ και των πολυμηχανημάτων για μικρά γραφεία της Canon – δείτε τα επηρεαζόμενα μοντέλα παρακάτω (αριθμός αναγνώρισης ευπάθειας: JVN # 64806328).
Για να γίνει αντικείμενο εκμετάλλευσης αυτή η ευπάθεια, ο εισβολέας πρέπει να βρίσκεται σε λειτουργία διαχειριστή. Παρόλο που δεν υπάρχουν αναφορές απώλειας δεδομένων, συνιστούμε την εγκατάσταση του πιο πρόσφατου firmware για τη βελτίωση της ασφάλειας. Μπορείτε να βρείτε ενημερώσεις στη διεύθυνση https://www.canon-europe.com/support/.
Συνιστούμε επίσης να ορίσετε μια ιδιωτική διεύθυνση IP και ένα ιδιωτικό περιβάλλον δικτύου, διασφαλίζοντας ότι η σύνδεση δημιουργείται με τείχος προστασίας ή δρομολογητή Wi-Fi που μπορεί να περιορίσει την πρόσβαση στο δίκτυο. Για περισσότερες λεπτομέρειες σχετικά με τα μέτρα ασφαλείας κατά τη σύνδεση συσκευών σε δίκτυο, επισκεφθείτε τη διεύθυνση https://www.canon-europe.com/support/product-security/.
Επηρεαζόμενα προϊόντα:
i-SENSYS
LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw
imageRUNNER
2206IF
2204N, 2204F -
Στις αρχές αυτού του έτους εντοπίστηκε μια ευπάθεια στο Microsoft Windows Print Spooler, η οποία αναφέρεται ως "PrintNightmare". Η ευπάθεια επιτρέπει στους εισβολείς να ελέγχουν τα συστήματα των Windows των χρηστών υπό ορισμένες συνθήκες.
Αν και αυτό μπορεί να επηρεάσει τους χρήστες των συσκευών Canon, το πρόβλημα οφείλεται σε ελάττωμα λογισμικού της Microsoft και όχι σε προβλήματα των προϊόντων ή του λογισμικού της Canon. Συγκεκριμένα, το πρόβλημα έγκειται στη λειτουργικότητα της ουράς εκτύπωσης που είναι εγκατεστημένη σε κάθε διακομιστή και επιφάνεια εργασίας των Windows.
Η Microsoft ανακοίνωσε ότι αυτές οι ευπάθειες επιλύθηκαν στην Ενημέρωση ασφαλείας Microsoft στις 6 Ιουλίου, η οποία είναι διαθέσιμη μέσω του Windows Update ή με τη λήψη και εγκατάσταση του KB5004945. Η Microsoft συνιστά στις ομάδες IT να εγκαταστήσουν αμέσως αυτή την ενημέρωση, ώστε να αποτρέψουν τυχόν εισβολές που σχετίζονται με αυτές τις ευπάθειες. Για αναλυτικές πληροφορίες σχετικά με το θέμα από τη Microsoft, επισκεφθείτε τη διεύθυνση https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Εκτός από τις συμβουλές της Microsoft για την εγκατάσταση των ενημερώσεων, συνιστούμε επίσης να ασφαλίσετε το σύστημά σας επιβεβαιώνοντας ότι οι παρακάτω ρυθμίσεις μητρώου έχουν οριστεί σε 0 (μηδέν) ή δεν έχουν οριστεί (Σημείωση: αυτά τα κλειδιά μητρώου δεν υπάρχουν από προεπιλογή και, επομένως, βρίσκονται ήδη στη ρύθμιση ασφαλείας). Θα πρέπει επίσης να ελέγξετε ότι οι ρυθμίσεις Πολιτικής ομάδας είναι σωστές:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) ή δεν έχει οριστεί (προεπιλεγμένη ρύθμιση)
- UpdatePromptSettings = 0 (DWORD) ή δεν έχει οριστεί (προεπιλεγμένη ρύθμιση)
Εάν το κλειδί μητρώου ‘NoWarningNoElevationOnInstall’ έχει οριστεί σε 1, μειώνεται η κατάσταση ασφαλείας του συστήματός σας.
Συνιστούμε η ομάδα IT να συνεχίσει να παρακολουθεί την τοποθεσία υποστήριξης της Microsoft, ώστε να διασφαλίσει ότι θα εφαρμοστούν όλες οι ισχύουσες υποκείμενες ενημερώσεις κώδικα του λειτουργικού συστήματος.
-
Μετά από έρευνα, διαπιστώσαμε ότι κανένα προϊόν imageRUNNER, imageRUNNER ADVANCE ή i-SENSYS δεν επηρεάζεται από αυτήν την ευπάθεια. Συνεχίζουμε την έρευνά μας σε όλη τη σειρά προϊόντων Canon και θα ενημερώσουμε αυτό το άρθρο μόλις είναι διαθέσιμες περισσότερες πληροφορίες.
-
Η Ομοσπονδιακή Υπηρεσία για την Ασφάλεια Πληροφοριών (Federal Office for Information Security, BSI), μας ενημέρωσε ότι η υλοποίηση του δικτύου εντός του microMIND είναι ευάλωτη σε ορισμένες περιπτώσεις εκμετάλλευσης. Αυτές οι ευπάθειες ανακαλύφθηκαν από τη «Forescout Technologies», τους ερευνητές Jos Wetzels, Stanislav Dashevskyi, Amine Amri και Daniel dos Santos.
Το microMIND χρησιμοποιεί τη στοίβα δικτύου ανοικτού κώδικα uIP, https://en.wikipedia.org/wiki/UIP_(micro_IP) που χρησιμοποιείται από χιλιάδες εταιρείες για τη δικτύωση και την ενεργοποίηση του λογισμικού/υλικού τους. Οι ερευνητές διαπίστωσαν ότι αυτές οι ευπάθειες μπορεί να οδηγήσουν σε επίθεση DoS, η οποία μπορεί να θέσει τη συσκευή εκτός σύνδεσης ή να εκτελέσει απομακρυσμένη εκτέλεση κώδικα (RCE) στο ίδιο το microMIND. Για την αντιμετώπιση αυτών των ευπαθειών, η NT-ware κυκλοφόρησε ένα νέο firmware που αντιμετωπίζει όλα τα προβλήματα που αναφέρονται. Κατά τη σύνταξη αυτού του ενημερωτικού δελτίου ασφαλείας, δεν υπάρχουν γνωστές περιπτώσεις εκμετάλλευσης που έχουν ως στόχο το microMIND.
Όνομα/σύνδεσμος εκμετάλλευσης: AMNESIA:33, https://www.forescout.com/amnesia33/
Τα CVE που αναφέρονται σε αυτό το firmware είναι τα εξής: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
CVE που δεν σχετίζονται με την εφαρμογή MicroMIND της στοίβας uIP: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Firmware microMIND του uniFLOW που επηρεάζεται: 2.0.9 και προγενέστερη έκδοση ή έκδοση που έχει παραδοθεί πριν από τον Οκτώβριο του 2020.
Μετριασμός/ενέργεια: Αν έχετε microMIND που έχει επηρεαστεί, επικοινωνήστε με τον αντιπρόσωπο της Canon για να κανονίσετε την αναβάθμιση του firmware.
-
Μια εταιρεία κυβερνοασφάλειας με έδρα το Ισραήλ, η SCADAFence Ltd., εφίστησε την προσοχή μας σε μια ευπάθεια που σχετίζεται με το πρωτόκολλο στοίβας IP, το οποίο χρησιμοποιείται από τον εκτυπωτή λέιζερ και τον μικρό πολυλειτουργικό εκτυπωτή γραφείου της Canon. Για λεπτομέρειες, ανατρέξτε στο CVE-2020-16849.
Υπάρχει το ενδεχόμενο επίθεσης από τρίτους στη συσκευή όταν είναι συνδεδεμένη σε δίκτυο, το οποίο επιτρέπει τη λήψη τμημάτων του «Βιβλίου διευθύνσεων» ή/και του «Κωδικού πρόσβασης διαχειριστή» μέσω μη ασφαλούς δικτύου. Πρέπει να σημειωθεί ότι όταν χρησιμοποιείται το HTTPS για την επικοινωνία του Remote UI, τα δεδομένα προστατεύονται με κρυπτογράφηση.
Μέχρι σήμερα, δεν έχουν υπάρξει επιβεβαιωμένες περιπτώσεις εκμετάλλευσης αυτών των ευπαθειών για την πρόκληση βλάβης. Ωστόσο, προκειμένου να διασφαλίσουμε ότι οι πελάτες μας μπορούν να χρησιμοποιούν τα προϊόντα μας με ασφάλεια, θα διατίθεται νέο firmware για τα παρακάτω προϊόντα:
Σειρά i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DWΣειρά i-SENSYS LBP
LBP113W
LBP151DW
LBP162DWΣειρά imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IFΓια λεπτομέρειες σχετικά με τον τρόπο ενημέρωσης του firmware, ανατρέξτε στο Εγχειρίδιο χρήσης.
Συνιστούμε να χρησιμοποιείται μια ιδιωτική διεύθυνση IP για τα προϊόντα και να χρησιμοποιούνται στοιχεία ελέγχου παραμέτρων δικτύου, όπως τη χρήση τείχους προστασίας ή δρομολογητή Wi-Fi που μπορούν να περιορίσουν την πρόσβαση στο δίκτυο. Η ενότητα «Ασφάλεια για προϊόντα συνδεδεμένα σε δίκτυο» παρακάτω σε αυτήν τη σελίδα παρέχει πρόσθετες οδηγίες. -
Μετά από έρευνα σχετικά με την ευπάθεια «Ripple20», δεν εντοπίστηκε πρόβλημα στα προϊόντα εκτυπωτών της Canon.
-
Παρόλο που ο κωδικός πρόσβασης ασύρματης λειτουργίας της Canon συμμορφώνεται με το τρέχον πρότυπο WPA, γνωρίζουμε ότι η ασφάλεια που παρέχεται από τους αριθμητικούς κωδικούς οκτώ χαρακτήρων δεν θεωρείται τόσο ισχυρή όσο ήταν στο παρελθόν. Λαμβάνοντας υπόψη τα παραπάνω, συνιστούμε, σε περιβάλλοντα όπου η ασύρματη ασφάλεια αποτελεί λόγο ανησυχίας, όπως σε δημόσιες τοποθεσίες, ο εξοπλισμός Canon να συνδέεται πάντα με υλοποίηση υποδομής Wi-Fi. Δίνουμε μεγάλη βαρύτητα στην ασφάλεια. Ενημερώνουμε τις διαμορφώσεις ασφαλείας Wi-Fi σε όλα τα προϊόντα μας, ώστε να παραμένετε ασφαλείς. Τυχόν ενημερώσεις θα δημοσιεύονται σε αυτές τις σελίδες. Η Canon ευχαριστεί τη REDTEAM. PL, επειδή εφίστησε την προσοχή μας στην αλλαγή της φύσης της ασφάλειας των κωδικών πρόσβασης και στον αντίκτυπό αυτής της αλλαγής στην αγορά.
-
Η πλατφόρμα λογισμικού imageRUNNER ADVANCE, στην έκδοση 3.8 και σε μεταγενέστερες εκδόσεις, χρησιμοποιεί τη λειτουργία ανταλλαγής μηνυμάτων συμβάντων σε σχεδόν πραγματικό χρόνο με βάση το πρωτόκολλο Syslog (συμβατό με RFC 5424, RFC 5425 και RFC 5426), η οποία ενισχύει την υπάρχουσα δυνατότητα αρχείων καταγραφής συσκευών, αυξάνοντας την ορατότητα της συσκευής και των συμβάντων ασφάλειας. Βασίζεται στη δυνατότητα αρχείων καταγραφής συσκευής που επιτρέπει τη σύνδεση σε έναν υπάρχοντα διακομιστή διαχείρισης συμβάντων πληροφοριών ασφαλείας (SIEM) ή Syslog. Το έγγραφο "SIEM_spec" που παρέχεται παρακάτω περιέχει λεπτομέρειες σχετικά με τους τύπους μηνυμάτων και τα δεδομένα καταγραφής που μπορούν να δημιουργηθούν.
-
Στο λειτουργικό σύστημα VxWorks έχουν εντοπιστεί έντεκα ευπάθειες, με τίτλο «URGENT/11» (CVE-2019-12255 έως CVE-2019-12265). Έχει αποδειχθεί ότι η στοίβα IPnet TCP/IP που χρησιμοποιείται στο λειτουργικό σύστημα VxWorks έχει χρησιμοποιηθεί και σε άλλα λειτουργικά συστήματα πραγματικού χρόνου, γεγονός που σημαίνει πως υπάρχει δυνατότητα ύπαρξης ευπαθειών (CVE-2019-12255, CVE-2019-12262 και CVE-2019-12264) σε μια ευρύτερη γκάμα προϊόντων.
Ορισμένα ευρωπαϊκά μοντέλα παλαιού τύπου ενδέχεται να είναι ευάλωτα σε αυτό το πρόβλημα, καθώς έχουν αναγνωριστεί ως μοντέλα που χρησιμοποιούν τη στοίβα IPnet TCP/IP που επηρεάζεται:
- i-SENSYS MF4270
- i-SENSYS MF4370dn
- i-SENSYS MF4380dn
- imageRUNNER 2318
- imageRUNNER 2318L
- imageRUNNER 2320
- imageRUNNER 2420
- imageRUNNER 2422
Συνιστούμε να εξετάσετε τους ελέγχους ασφαλείας του δικτύου σας ή/και να κάνετε αναβάθμιση στην πιο πρόσφατη αντίστοιχη συσκευή Canon. Μπορείτε να βρείτε περισσότερες πληροφορίες στον Οδηγό θωράκισης MFD της Canon (θα βρείτε τον σύνδεσμο στο κάτω μέρος αυτής της σελίδας) και στην παγκόσμια σελίδα της Canon. -
Σας ευχαριστούμε που χρησιμοποιείτε τα προϊόντα της Canon.
Μια διεθνής ομάδα ερευνητών στον τομέα της ασφάλειας εφίστησε την προσοχή μας σε μια ευπάθεια που σχετίζεται με τις επικοινωνίες μέσω του Πρωτοκόλλου μεταφοράς εικόνων (PTP), το οποίο χρησιμοποιείται από τις ψηφιακές μηχανές της Canon, καθώς και σε μια ευπάθεια που σχετίζεται με τις ενημερώσεις firmware.
(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)
Λόγω αυτών των ευπαθειών, υπάρχει το ενδεχόμενο επίθεσης από τρίτους στην μηχανή, εάν η μηχανή είναι συνδεδεμένη σε υπολογιστή ή κινητή συσκευή που έχει παραβιαστεί μέσω μη ασφαλούς δικτύου.
Σε αυτό το σημείο, δεν υπάρχουν επιβεβαιωμένες περιπτώσεις εκμετάλλευσης αυτών των ευπαθειών για πρόκληση βλάβης. Ωστόσο, προκειμένου να διασφαλιστεί ότι οι πελάτες μας μπορούν να χρησιμοποιούν τα προϊόντα μας με ασφάλεια, θέλουμε να σας ενημερώσουμε σχετικά με τις παρακάτω λύσεις για αυτό το πρόβλημα.
- Βεβαιωθείτε για την καταλληλότητα των ρυθμίσεων ασφαλείας των συσκευών που είναι συνδεδεμένες με την μηχανή, όπως είναι ο υπολογιστής, η κινητή συσκευή και ο δρομολογητής που χρησιμοποιούνται.
- Μην συνδέετε την μηχανή σε υπολογιστή ή κινητή συσκευή που χρησιμοποιείται σε μη ασφαλές δίκτυο, όπως σε ένα περιβάλλον δωρεάν Wi-Fi.
- Μην συνδέετε την μηχανή σε υπολογιστή ή κινητή συσκευή που ενδέχεται να εκτεθεί σε ιούς.
- Απενεργοποιήστε τις λειτουργίες δικτύου της μηχανής, όταν δεν χρησιμοποιούνται.
- Κατά την ενημέρωση του firmware της μηχανής, κατεβάστε το επίσημο firmware από τον ιστότοπο της Canon.
Υπάρχει αυξημένη χρήση υπολογιστών και κινητών συσκευών σε μη ασφαλές περιβάλλον δικτύου (δωρεάν Wi-Fi), όπου οι πελάτες δεν γνωρίζουν την ασφάλεια του δικτύου. Καθώς η μεταφορά εικόνων από μηχανή σε κινητή συσκευή μέσω σύνδεσης Wi-Fi είναι η πιο συχνή μέθοδος μεταφοράς, θα εφαρμόσουμε ενημερώσεις firmware για τα παρακάτω μοντέλα που είναι εξοπλισμένα με λειτουργία Wi-Fi.
Αυτές οι ευπάθειες επηρεάζουν τις παρακάτω ψηφιακές μηχανές SLR και mirrorless της Σειράς EOS:
EOS-1DC*1 *2 EOS 6D Mark II EOS 760D EOS M6 Mark II PowerShot SX740 HS EOS-1DX*1 *2 EOS 7D Mark II*1 EOS 800D EOS M10 EOS-1DX MK II*1 *2 EOS 70D EOS 1300D EOS M50 EOS 5D Mark III*1 EOS 77D EOS 2000D EOS M100 EOS 5D Mark IV EOS 80D EOS 4000D EOS R EOS 5DS*1 EOS 200D EOS M3 EOS RP EOS 5DS R*1 EOS 250D EOS M5 PowerShot G5X Mark II EOS 6D EOS 750D EOS M6 PowerShot SX70 HS
*1 Αν χρησιμοποιείται προσαρμογέας WiFi ή μονάδα Ασύρματης Μεταφοράς Αρχείων, μπορεί να δημιουργηθεί σύνδεση WiFi.
*2 Οι συνδέσεις Ethernet επηρεάζονται επίσης από αυτές τις ευπάθειες.
Θα παρέχονται πληροφορίες ενημέρωσης firmware για κάθε προϊόν με τη σειρά, ξεκινώντας από τα προϊόντα για τα οποία έχουν ολοκληρωθεί οι προετοιμασίες.
- Εντοπίσαμε ένα πρόβλημα ασφαλείας που υπάρχει σε ορισμένες περιπτώσεις χρήσης του uniFLOW και η NT-ware έχει κυκλοφορήσει μια επιδιόρθωση για την επίλυση αυτού του προβλήματος. Συνιστούμε να εκτελέσετε αυτήν την επιδιόρθωση στο σύστημά σας το συντομότερο δυνατόν.
Υπάρχει πιθανότητα μη εξουσιοδοτημένης πρόσβασης, όπου χρησιμοποιείται η μέθοδος «Όνομα χρήστη/Κωδικός πρόσβασης» ως έλεγχος ταυτότητας ή μηχανισμός εκμάθησης καρτών.Αυτό επηρεάζει μόνο συγκεκριμένες εκδόσεις του λογισμικού, όταν χρησιμοποιείται με αυτές τις μεθόδους ελέγχου ταυτότητας:• uniFLOW V5.1 SRx• uniFLOW V5.2 SRx• uniFLOW V5.3 SRx• uniFLOW V5.4 SR10 (αναθεωρημένη επιδιόρθωση) και άνω• uniFLOW 2018 LTS SRx (αναθεωρημένη επιδιόρθωση)• uniFLOW 2018 v-Releases (αναθεωρημένη επιδιόρθωση)Εάν χρησιμοποιείτε τα uniFLOW V5.1 SRx, uniFLOW V5.2 SRx ή uniFLOW V5.3 SRx, επικοινωνήστε με τον εξουσιοδοτημένο μεταπωλητή ή με τον αντιπρόσωπο υποστήριξης της Canon.
Βρείτε οδηγίες για την εγκατάσταση της επιδιόρθωσης εδώ
Δεσμευόμαστε να παρέχουμε ασφαλείς λύσεις στους πελάτες μας και ζητούμε συγγνώμη για την αναστάτωση που προκλήθηκε από αυτήν την κατάσταση. Εάν χρειάζεστε περισσότερες πληροφορίες σχετικά με αυτήν την ενημερωτική οδηγία, επικοινωνήστε με το τοπικό γραφείο της Canon, τον εξουσιοδοτημένο μεταπωλητή ή τον αντιπρόσωπο υποστήριξης της Canon. Αν παρατηρήσετε οποιαδήποτε ύποπτη δραστηριότητα, αναφέρετέ την αμέσως στον υπεύθυνο του λογαριασμού σας και στο τμήμα IT. -
Πρόσφατα, ερευνητές ανέφεραν ευπάθειες που εντοπίστηκαν στα πρωτόκολλα επικοινωνίας στις λειτουργίες φαξ ορισμένων προϊόντων. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Για πληροφορίες σχετικά με τον αντίκτυπο αυτών των ευπαθειών στα προϊόντα της Canon που διαθέτουν λειτουργίες φαξ, ανατρέξτε παρακάτω:
Με βάση τον έλεγχό μας, τα ακόλουθα προϊόντα, καθώς δεν χρησιμοποιούν το πρωτόκολλο έγχρωμου φαξ G3, στο οποίο παρατηρούνται αυτές τις ευπάθειες, δεν επηρεάζονται: imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP και μοντέλα Σειράς imageCLASS/i-SENSYS με λειτουργίες φαξ.
Τα προϊόντα της Σειράς MAXIFY και PIXMA με λειτουργίες φαξ χρησιμοποιούν το πρωτόκολλο έγχρωμου φαξ G3. Ωστόσο, δεν έχουμε εντοπίσει κανέναν κίνδυνο εκτέλεσης κακόβουλου κώδικα μέσω του κυκλώματος φαξ ή κίνδυνο για την ασφάλεια των πληροφοριών που αποθηκεύονται σε αυτές τις συσκευές.
Θα συνεχίσουμε να παρακολουθούμε αυτήν την κατάσταση και να λαμβάνουμε τα κατάλληλα μέτρα για να διατηρήσουμε την ασφάλεια των συσκευών μας.
-
Πρόσφατα δημοσιοποιήθηκαν ορισμένες ευπάθειες σχετικά με ορισμένες CPU από την Intel, την AMD και την ARM, οι οποίες χρησιμοποιούν υποθετική εκτέλεση εντολών για τη βελτίωση της απόδοσής τους. Αυτές οι ευπάθειες μπορούν να επιτρέψουν σε έναν εισβολέα να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε περιοχές της ιδιωτικής μνήμης cache.
Προσδιορίστηκαν και ονομάστηκαν δύο παραλλαγές των ευπαθειών που χρησιμοποιούν διαφορετικές τεχνικές για την εκμετάλλευση των λειτουργιών υποθετικής εκτέλεσης εντολών εντός των επηρεαζόμενων CPU. Είναι τα CVE-2017-5715, CVE-2017-5753: «Spectre» και CVE-2017-5754: «Meltdown».
Τα παρακάτω προϊόντα εξωτερικών ελεγκτών της Canon μπορεί να επηρεαστούν από τις ευπάθειες. Παρόλο που δεν υπάρχει επί του παρόντος γνωστός τρόπος εκμετάλλευσης αυτών των ευπαθειών, προετοιμάζονται μέτρα αντιμετώπισης ώστε οι πελάτες να μπορούν να συνεχίσουν να χρησιμοποιούν τα προϊόντα μας χωρίς καμία ανησυχία.
ColorPASS:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1imagePASS:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0Διακομιστής imagePRESS-CR:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1Διακομιστής imagePRESS:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0Η παρακάτω υπηρεσία της Canon μπορεί να επηρεαστεί από τις ευπάθειες. Αν και επί του παρόντος δεν υπάρχει κανένας γνωστός τρόπος εκμετάλλευσης αυτών των ευπαθειών, εφαρμόστηκαν μέτρα πρόληψης μέχρι το τέλος Φεβρουαρίου 2018.
MDS Cloud
Όλοι οι πολυλειτουργικοί εκτυπωτές λέιζερ της Canon και οι εκτυπωτές λέιζερ της Canon, καθώς και τα σχετικά προϊόντα λογισμικού τους, εκτός από αυτά που αναφέρονται παραπάνω, δεν επηρεάζονται από αυτές τις ευπάθειες μέσω οποιασδήποτε γνωστής διαδικασίας εκμετάλλευσης. Οι πελάτες μπορούν να συνεχίσουν να χρησιμοποιούν τα προϊόντα μας με ασφάλεια.
Η Canon καταβάλλει συνεχώς κάθε προσπάθεια για να διασφαλίσει το υψηλότερο επίπεδο ασφάλειας σε όλα τα προϊόντα και τις λύσεις μας. Δίνουμε μεγάλη βαρύτητα στην ασφάλεια των πληροφοριών των πελατών μας και η προστασία τους αποτελεί ύψιστη προτεραιότητά μας.
-
Πρόσφατα, ένας ερευνητής δημοσιοποίησε μια ευπάθεια, γνωστή ως KRACKs, στο τυπικό πρωτόκολλο κρυπτογράφησης ασύρματου LAN (Wi-Fi) WPA2. Αυτή η ευπάθεια επιτρέπει σε έναν εισβολέα να υποκλέψει σκόπιμα την ασύρματη μετάδοση μεταξύ της συσκευής-πελάτη (τερματικό που διαθέτει λειτουργία Wi-Fi) και του σημείου πρόσβασης (δρομολογητή κ.λπ.) για να εκτελέσει μια ενδεχομένως κακόβουλη δραστηριότητα. Για τον λόγο αυτό, δεν είναι δυνατή η εκμετάλλευση αυτής της ευπάθειας από οποιονδήποτε βρίσκεται εκτός της εμβέλειας του σήματος Wi-Fi ή από οποιονδήποτε βρίσκεται σε απομακρυσμένη τοποθεσία με χρήση του διαδικτύου ως διαμεσολαβητή.
Μέχρι τώρα, δεν έχουμε επιβεβαιώσει τυχόν προβλήματα που έχουν αντιμετωπίσει οι χρήστες των προϊόντων της Canon, ως αποτέλεσμα αυτής της ευπάθειας. Ωστόσο, για να συνεχίσουν οι πελάτες μας να χρησιμοποιούν τα προϊόντα μας με σιγουριά, προτείνουμε τα ακόλουθα προληπτικά μέτρα:
•Χρησιμοποιήστε καλώδιο USB ή καλώδιο Ethernet για να συνδέσετε απευθείας τις συμβατές συσκευές σε δίκτυο
•Κρυπτογραφήστε τη μετάδοση των δεδομένων από συσκευές που επιτρέπουν ρυθμίσεις κρυπτογράφησης (TLS/IPSec)
•Χρησιμοποιήστε φυσικές κάρτες, όπως κάρτες SD, με συμβατές συσκευές
•Χρησιμοποιήστε ρυθμίσεις, όπως το Wireless Direct και Direct Connect, με συμβατές συσκευές
Καθώς οι προσφερόμενες διαδικασίες και λειτουργίες διαφέρουν από συσκευή σε συσκευή, ανατρέξτε στο εγχειρίδιο της συσκευής σας για περισσότερες λεπτομέρειες. Συνιστούμε επίσης να λάβετε τα κατάλληλα μέτρα για συσκευές όπως είναι ο υπολογιστής ή το smartphone σας. Για πληροφορίες σχετικά με τα κατάλληλα μέτρα για κάθε συσκευή, επικοινωνήστε με τον κατασκευαστή της συσκευής.
Λευκές βίβλοι
-
Γνωρίζουμε για τα ειδησεογραφικά άρθρα που σχετίζονται με την έρευνα του University Alliance Ruhr σχετικά με την πιθανή ευπάθεια που ενέχουν οι εκτυπωτές σε δίκτυο μέσω της γλώσσας προγραμματισμού PostScript, η οποία χρησιμοποιείται ευρέως σε ολόκληρο τον κλάδο μας. Δεν έχουν δοκιμαστεί συσκευές της Canon στην έρευνα.
Η Canon καταβάλλει συνεχώς κάθε προσπάθεια για να εξασφαλίσει το υψηλότερο επίπεδο ασφάλειας σε όλα τα προϊόντα και τις λύσεις μας, συμπεριλαμβανομένων των εκτυπωτών δικτύου. Δίνουμε μεγάλη βαρύτητα στην ασφάλεια των πληροφοριών των πελατών μας και η προστασία τους αποτελεί ύψιστη προτεραιότητά μας. Ο οδηγός θωράκισης MFD εξηγεί και συμβουλεύει τις καλύτερες ρυθμίσεις διαμόρφωσης για ασφαλή εφαρμογή.
Παρακάτω περιγράφονται πληροφορίες σχετικά με τα μέτρα ασφαλείας για συγκεκριμένα προϊόντα Canon και τις διαδικασίες ρύθμισής τους. Λάβετε υπόψη ότι αυτές οι πληροφορίες διατίθενται μόνο στα Αγγλικά.
Εκτυπωτές inkjet (Σειρά PIXMA) και επαγγελματικοί εκτυπωτές inkjet (σειρά MAXIFY)
Εκτυπωτής inkjet μεγάλου μεγέθους (Σειρά imagePROGRAF)
Εκτυπωτές με ακτίνα λέιζερ και μικρές πολυλειτουργικές συσκευές (Σειρά LBP και MF)
Πολυλειτουργικοί εκτυπωτές γραφείου και για εκτυπώσεις μεγάλου τιράζ (Σειρές imageRUNNER, imageRUNNER ADVANCE, imagePRESS)
Δικτυακές κάμερες
Οδηγός θωράκισης MFD
Σαρωτές δικτύου (Σειρά imageFORMULA)
Πίνακας ασφαλείας Canon imageRUNNER
Επισκόπηση ασφάλειας συσκευών Canon
Λευκή βίβλος ασφαλείας imageRUNNER ADAVANCE και imageRUNNER ADVANCE DX
SIEM_spec (imageRUNNER ADVANCE)
Λευκή βίβλος ασφαλείας ColorWave και PlotWave SMARTshield
Πιστοποίηση
-
Η Canon εστιάζει στην ασφάλεια των πληροφοριών, λαμβάνοντας μέτρα ασφαλείας για την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των γραπτών, φωνητικών και ηλεκτρονικών πληροφοριών, έτσι ώστε να διασφαλίζονται τα εξής:
- Εμπιστευτικότητα - εξασφαλίζεται η πρόσβαση στις πληροφορίες μόνο σε όσους έχουν εξουσιοδοτηθεί να έχουν πρόσβαση
- Ακεραιότητα - εξασφαλίζεται η ακρίβεια και η πληρότητα των πληροφοριών και των μεθόδων επεξεργασίας
- Διαθεσιμότητα - εξασφαλίζεται η πρόσβαση των εξουσιοδοτημένων χρηστών σε πληροφορίες, όταν χρειάζεται
Η πιστοποίηση ISO 27001 αποδεικνύει ότι η Canon Europe διαθέτει συστήματα για την προστασία των εταιρικών πληροφοριών και δεδομένων, είτε αυτά είναι διαθέσιμα εντός είτε εκτός σύνδεσης. Με την πιστοποίηση ISO 27001, η Canon Europe μπορεί να επιβεβαιώσει ότι οι διαδικασίες ασφαλείας της, από την ανάπτυξη έως την παράδοση, έχουν αξιολογηθεί εξωτερικά και έχουν πιστοποιηθεί από τρίτους σύμφωνα με το διεθνώς αναγνωρισμένο πρότυπο.
Η Canon Europe έχει λάβει πιστοποίηση ISO 27001 για το σύστημα διαχείρισης της ασφάλειας πληροφοριών, διαβεβαιώνοντας τους πελάτες μας ότι τηρούμε τα πρότυπα παγκόσμιας κλάσης. Καλύπτει όλες τις πτυχές της ασφάλειας πληροφοριών, από τη διαχείριση κινδύνων και ελέγχων έως την ασφάλεια των προϊόντων και τη διαχείριση περιστατικών.
Το σύστημά μας για τη διαχείριση της ασφάλειας πληροφοριών (ISMS) καλύπτει τους εξής τομείς:
- πολιτική ασφαλείας
- οργάνωση της ασφάλειας πληροφοριών
- διαχείριση πόρων
- ασφάλεια των ανθρώπινων πόρων
- φυσική και περιβαλλοντική ασφάλεια
- διαχείριση επικοινωνιών και λειτουργιών
- έλεγχος πρόσβασης
- απόκτηση, ανάπτυξη και συντήρηση πληροφοριακών συστημάτων
- διαχείριση περιστατικών ασφάλειας πληροφοριών
- διαχείριση επιχειρησιακής συνέχειας
- συμμόρφωση με τους κανονισμούς
Γνωστοποίηση ευπαθειών προϊόντος
-
Η PSIRT (Ομάδα ανταπόκρισης σε συμβάντα ασφάλειας προϊόντων) της Canon EMEA αποτελεί μέρος του παγκόσμιου οργανισμού PSIRT της Canon και είναι υπεύθυνη για την αντιμετώπιση ευπαθειών που σχετίζονται με προϊόντα, συστήματα και υπηρεσίες της Canon EMEA. Ακολουθούμε τις βέλτιστες πρακτικές του κλάδου για τη βελτίωση των επιπέδων ασφάλειας των προϊόντων και για να παρέχουμε στους πελάτες μας εξαιρετικά ασφαλή προϊόντα.
Η PSIRT της Canon EMEA καλωσορίζει πληροφορίες που σχετίζονται με πιθανές ευπάθειες προϊόντος. Θα χειριστούμε τις πληροφορίες σύμφωνα με την Πολιτική γνωστοποίησης ευπαθειών της εταιρείας μας.
Αναφορά ευπάθειας προϊόντος
Αν έχετε υπόψη σας κάποιο πρόβλημα ασφάλειας που σχετίζεται με κάποιο προϊόν, σύστημα ή υπηρεσία της Canon, θέλουμε να επικοινωνήσετε μαζί σας.
-
Αν πιστεύετε ότι έχετε ανακαλύψει κάποιο πρόβλημα ασφάλειας με ένα προϊόν Canon ή ότι έχετε να αναφέρετε κάποιο συμβάν που σχετίζεται με την ασφάλεια, μπορείτε να επικοινωνήσετε με την Ομάδα ανταπόκρισης σε συμβάντα ασφάλειας προϊόντων της Canon EMEA είτε στέλνοντας email στη διεύθυνση product-security@canon-europe.com είτε μέσω της Φόρμας αναφοράς ευπάθειας προϊόντος. Συμπεριλάβετε μια λεπτομερή σύνοψη του προβλήματος ασφαλείας, το ακριβές όνομα του προϊόντος, την έκδοση λογισμικού και τη φύση του προβλήματος. Συμπεριλάβετε επίσης μια διεύθυνση email και έναν αριθμό τηλεφώνου, ώστε να μπορούμε να επικοινωνήσουμε μαζί σας αν χρειαστούμε περισσότερες πληροφορίες.
-
Λάβετε υπόψη ότι αυτή η διεύθυνση email και η φόρμα προορίζονται μόνο για την αναφορά ευπαθειών και προβλημάτων ασφάλειας προϊόντος και όχι για γενικά θέματα υποστήριξης. Για βοήθεια σχετικά με οποιοδήποτε άλλο πρόβλημα προϊόντος, επισκεφτείτε τις σελίδες Υποστήριξης.
Πολιτική γνωστοποίησης ασφάλειας συστήματος IT
Στην Canon λαμβάνουμε σοβαρά υπόψη την ασφάλεια των συστημάτων IT μας και εκτιμούμε ιδιαίτερα την κοινότητα που επικεντρώνεται στην ασφάλεια. Η αποκάλυψη των αδυναμιών που αφορούν την ασφάλεια μάς βοηθά να διατηρήσουμε την ασφάλεια και το απόρρητο των χρηστών μας, ενεργώντας ως έμπιστος συνεργάτης. Η παρούσα πολιτική εξηγεί τις απαιτήσεις και τους μηχανισμούς που σχετίζονται με την αποκάλυψη ευπαθειών του συστήματος IT της Canon EMEA, τα οποία επιτρέπουν στους ερευνητές να αναφέρουν στην Ομάδα ασφάλειας πληροφοριών της Canon EMEA ευπάθειες ασφαλείας με ασφαλή και δεοντολογικό τρόπο.
Η παρούσα πολιτική ισχύει για όλους, συμπεριλαμβανομένων των εσωτερικών και εξωτερικών συμμετεχόντων της Canon.
-
Η Ομάδα ασφάλειας πληροφοριών Canon EMEA έχει δεσμευτεί για την προστασία των πελατών και των εργαζομένων της Canon. Στο πλαίσιο αυτής της δέσμευσης, καλούμε τους ερευνητές ασφαλείας να βοηθήσουν στην προστασία της Canon, αναφέροντας προληπτικά τυχόν αδυναμίες και ευπάθειες ασφαλείας. Μπορείτε να αναφέρετε τις λεπτομέρειες από τα ευρήματά σας στη διεύθυνση: appsec@canon-europe.com
Τομείς στο πεδίο εφαρμογήςΑυτή είναι η λίστα των τομέων που περιλαμβάνονται στην πολιτική γνωστοποίησης ευπαθειών της Canon.
*.canon-europe.com
*.canon.nl
*.canon.co.uk
*.canon.com.tr
*.canon.com.de
*.canon.com.sa
*.canon.com.ae
*.canon.com.jp
*.canon.com.ca
*.canon.no
*.canon.es
*.canon.se
*.canon.pl
*.canon.be
*.canon.pt
*.canon.it
*.canon.dk
*.canon.ch
*.canon.fi
*.canon.at
*.canon.fr
*.canon.ie
*.uaestore.canon.me.com
-
Μπορείτε να μας αναφέρετε αδυναμίες μέσω email στη διεύθυνση: appsec@canon-europe.com. Αναφέρετε συνοπτικά στο email σας τις αδυναμίες που εντοπίσατε, με όσο το δυνατόν περισσότερη σαφήνεια και λεπτομέρεια, καθώς και τυχόν αποδεικτικά στοιχεία που μπορεί να έχετε, λαμβάνοντας υπόψη ότι το μήνυμα θα εξεταστεί από τους ειδικούς ασφαλείας της Canon. Ειδικότερα, συμπεριλάβετε τα ακόλουθα στο e-mail σας:
- Τον τύπο της ευπάθειας
- Τις οδηγίες που ακολουθήσατε βήμα προς βήμα σχετικά με τον τρόπο αναπαραγωγής της ευπάθειας
- Την προσέγγισή σας
- Ολόκληρη τη διεύθυνση URL
- Τα πιθανώς εμπλεκόμενα στοιχεία (όπως φίλτρα ή πεδία καταχώρισης)
- Εκτιμούμε ιδιαίτερα τα στιγμιότυπα οθόνης
- Εισαγάγετε τη διεύθυνση IP σας στην αναφορά αδυναμίας. Θα παραμείνει ιδιωτική για την παρακολούθηση των δραστηριοτήτων σας στις δοκιμές και για τον έλεγχο των αρχείων καταγραφής από την πλευρά μας
Δεν θα αποδεχτούμε αποτελέσματα από αυτόματους σαρωτές λογισμικού.
Τι δεν θα γίνεται αποδεκτό:- Ογκομετρικές ευπάθειες/ευπάθειες άρνησης υπηρεσίας (δηλ. υπερφόρτωση της υπηρεσίας μας με μεγάλο όγκο αιτημάτων)
- Αδυναμίες στη διαμόρφωση TLS (π.χ. «ασθενής» υποστήριξη της σουίτας κρυπτογράφησης, υποστήριξη TLS1.0, sweet32 κ.λπ.)
- Προβλήματα σχετικά με την επαλήθευση των διευθύνσεων email που χρησιμοποιούνται για τη δημιουργία λογαριασμών χρηστών που σχετίζονται με το myid.canon
- "Self" XSS
- Δέσμες ενεργειών μικτού περιεχομένου στο www.canon.*
- Μη ασφαλή cookies στο www.canon.*
- Επιθέσεις CSRF και CRLF όπου ο αντίκτυπος είναι ελάχιστος
- HTTP Host Header XSS χωρίς λειτουργική εξακρίβωση της δυνατότητας υλοποίησης της προτεινόμενης λύσης
- Ανολοκλήρωτο/ανύπαρκτο SPF/DMARC/DKIM
- Επιθέσεις κοινωνικής μηχανικής
- Σφάλματα ασφάλειας σε ιστότοπους τρίτων που ενοποιούνται με την Canon
- Τεχνικές απαρίθμησης δεδομένων δικτύου (π.χ. banner grabbing, ύπαρξη δημόσια διαθέσιμων σελίδων διαγνωστικών διακομιστή)
- Αναφορές που υποδεικνύουν ότι οι υπηρεσίες μας δεν συμμορφώνονται πλήρως με τη «βέλτιστη πρακτική»
-
Οι ειδικοί ασφάλειας πληροφοριών της Canon θα διερευνήσουν την αναφορά σας και θα επικοινωνήσουν μαζί σας εντός 5 εργάσιμων ημερών.
Το απόρρητό σας
Θα χρησιμοποιήσουμε τα προσωπικά σας στοιχεία μόνο για να λάβουμε μέτρα με βάση την αναφορά σας. Δεν θα κοινοποιήσουμε τα προσωπικά σας στοιχεία σε άλλους χωρίς τη ρητή άδειά σας.
-
Ενδεχομένως παράνομες ενέργειες
Εάν ανακαλύψετε μια αδυναμία και ερευνήσετε το θέμα, μπορεί να εκτελέσετε ενέργειες που τιμωρούνται από το νόμο. Εάν ακολουθήσετε τους παρακάτω κανόνες και αρχές για την αναφορά αδυναμιών στα συστήματα IT μας, δεν θα αναφέρουμε τα αδικήματα που διαπράττονται στις αρχές και δεν θα υποβάλουμε καμία αξίωση.
Είναι σημαντικό να γνωρίζετε, ωστόσο, ότι η εισαγγελική αρχή —και όχι η CANON— μπορεί να αποφασίσει εάν θα σας ασκηθεί δίωξη ή όχι, ακόμη και αν δεν έχουμε αναφέρει το παράπτωμά σας στις αρχές. Αυτό σημαίνει ότι δεν μπορούμε να εγγυηθούμε ότι δεν θα σας ασκηθεί δίωξη, εάν διαπράξετε αξιόποινη πράξη κατά τη διερεύνηση μιας αδυναμίας.
Το Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο του Υπουργείου ασφάλειας και δικαιοσύνης (National Cyber Security Centre of the Ministry of Security and Justice) έχει δημιουργήσει οδηγίες για την αναφορά αδυναμιών στα συστήματα IT. Οι κανόνες μας βασίζονται σε αυτές τις οδηγίες. (https://english.ncsc.nl/)
Γενικές αρχέςΝα αναλαμβάνετε ευθύνη και να ενεργείτε με εξαιρετική προσοχή. Κατά τη διερεύνηση του θέματος, να χρησιμοποιείτε μόνο τις απαραίτητες μεθόδους ή τεχνικές για να εντοπίσετε ή να αποδείξετε τις αδυναμίες.
- Μην χρησιμοποιείτε τις αδυναμίες που ανακαλύπτετε για σκοπούς που δεν εμπίπτουν σε αυτούς της δικής σας έρευνας.
- Μην χρησιμοποιείτε κοινωνική μηχανική για να αποκτήσετε πρόσβαση σε ένα σύστημα.
- Μην χρησιμοποιήσετε παράνομα μέσα, ούτε καν για να παρουσιάσετε την ευπάθεια ενός συστήματος. Τα παράνομα μέσα θα αποδυναμώσουν την ασφάλεια του συστήματος.
- Μην τροποποιείτε και μην διαγράφετε πληροφορίες από το σύστημα. Εάν χρειάζεται να αντιγράψετε πληροφορίες για την έρευνά σας, μην αντιγράψετε περισσότερες πληροφορίες από όσες χρειάζεστε. Εάν μία εγγραφή είναι επαρκής, μην προχωρήσετε περαιτέρω.
- Μην τροποποιείτε το σύστημα με κανέναν τρόπο.
- Να παρεισφρέετε σε ένα σύστημα μόνο εάν είναι απολύτως απαραίτητο. Εάν καταφέρετε να παρεισφρήσετε σε ένα σύστημα, μην κάνετε κοινή χρήση της πρόσβασης με άλλους.
- Μην χρησιμοποιείτε τεχνικές ωμής βίας, όπως επανειλημμένη εισαγωγή κωδικών πρόσβασης, για να αποκτήσετε πρόσβαση στα συστήματα.
- Μην χρησιμοποιείτε τον τύπο επιθέσεων άρνησης υπηρεσίας (DoS) για να αποκτήσετε πρόσβαση
-
Θα λάβω ανταμοιβή για την έρευνά μου;
Όχι, δεν δικαιούστε καμία αποζημίωση.
Μπορώ να δημοσιοποιήσω τις αδυναμίες που βρίσκω και την έρευνά μου;
Μην δημοσιοποιείτε ποτέ τις αδυναμίες των συστημάτων IT της Canon ή της έρευνάς σας χωρίς να μας συμβουλευτείτε πρώτα μέσω email: appsec@canon-europe.com. Μπορούμε να συνεργαστούμε για να αποτρέψουμε την κατάχρηση των πληροφοριών σας από εγκληματίες. Συμβουλευτείτε την ομάδα ασφάλειας πληροφοριών, ώστε να συνεργαστούμε για τη δημοσίευση.
Μπορώ να αναφέρω μια αδυναμία ανώνυμα;
Ναι, μπορείτε. Δεν χρειάζεται να αναφέρετε το όνομα και τα στοιχεία επικοινωνίας σας όταν αναφέρετε μια αδυναμία. Ωστόσο, λάβετε υπόψη ότι δεν θα είμαστε σε θέση να σας συμβουλέψουμε σχετικά με τα επακόλουθα μέτρα, π.χ. για το πώς μπορούμε να προχωρήσουμε με την αναφορά σας ή για το ενδεχόμενο περαιτέρω συνεργασίας.
Για τι δεν πρέπει να χρησιμοποιήσω αυτήν τη διεύθυνση email;
Η διεύθυνση email appsec@canon-europe.com δεν προορίζεται για τα εξής:
- Υποβολή παραπόνων σχετικά με προϊόντα ή υπηρεσίες της Canon
- Υποβολή ερωτήσεων ή παραπόνων σχετικά με τη διαθεσιμότητα των ιστοτόπων της Canon.
- Αναφορά απάτης ή υποψίας απάτης
- Αναφορά email που αφορούν ψεύτικα μηνύματα ή μηνύματα ηλεκτρονικού ψαρέματος
- Αναφορά ιών