iStock_80038439_XXXLARGE

A Canon és a biztonság

Ezen az oldalon a Canon termékek biztonságával kapcsolatos fontos információkat olvashat


Tisztességtelen üzletekkel kapcsolatos figyelmeztetés


Tudomásunkra jutott, hogy különböző weboldalak 90%-os vagy még jelentősebb kedvezményekkel kínálnak Canon termékeket. Ezeknek a weboldalaknak – amelyek, úgy hisszük, nem legitim weboldalak –, az egyetlen célja a hivatalos Canon áruház megjelenését imitálva összezavarni ügyfeleinket, hogy személyes és pénzügyi információkat csalhassanak ki tőlük. Kérjük ügyfeleinket, legyenek éberek a Canontól, illetve viszonteladóitól történő online vásárlások folyamán.


A hivatalos Canon online üzletek egyszerű azonosítása érdekében minden európai Canon üzletünk hasonló tartománynévvel rendelkezik: https://www.canon.xx/store
Az utolsó karakterek országonként változnak. Pl.: https://store.canon.fr és https://www.canon.co.uk/store.

Legfrissebb hírek

CPE2024-004 – Több MiCard PLUS kártyaolvasónál jelentkezett karakterkihagyás – 2024. szeptember 16.

Az azonosítókártyák egyediségére vonatkozó potenciális hibát azonosítottak az NT-ware által új márkanév alatt kiadott (eredetileg az rf IDEAS által kifejlesztett és terjesztett) kártyaolvasókban, amelyet a CVE-2024-1578 jelentésben tettek közzé.

Bár nem érkezett jelentés visszaélésekről, azt ajánljuk, olvasd el az adott linken található javasolt biztonsági intézkedéseket.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: Több MiCard PLUS kártyaolvasónál jelentkezett karakterkihagyás

 

CPE2024-003 – uniFLOW Online eszközregisztráció, károsodás veszélyének van kitéve – 2024. június 10. (Frissítve: 2024. szeptember 2.)

A uniFLOW Online rendszerben az eszközregisztráció során előforduló potenciális károsodás veszélyét azonosították, amelyet a CVE-2024-1621 jelentésben tettek közzé.

Bár nem érkezett jelentés visszaélésekről, azt ajánljuk, olvasd el az adott linken található javasolt biztonsági intézkedéseket.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: Az eszközregisztráció károsodás veszélyének van kitéve

 

CPE2024-002 – Kis irodai többfunkciós nyomtatók és lézernyomtatók biztonsági résének kárenyhítése/javítása – 2024. március 14.

A WSD protokoll folyamatában puffertúlcsordulással kapcsolatos biztonsági rést azonosítottak egyes kis irodai többfunkciós nyomtatók és lézernyomtatók esetében.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

CP2024-002 – Kis irodai többfunkciós nyomtatók és lézernyomtatók biztonsági résének kárenyhítése/javítása – Canon PSIRT.

 

CPE2024-001 – A kis irodai többfunkciós nyomtatók és lézernyomtatók esetében jelentkező biztonsági résekkel kapcsolatban – 2024. február 5. (Frissítve: 2024. április 10.)

Egyes kis irodai többfunkciós nyomtatók és lézernyomtatók esetében több biztonsági rést azonosítottak.

A biztonsági rések miatt ha egy termék (vezetékes vagy Wi-Fi-)router használata nélkül csatlakozik közvetlenül az internethez, akkor egy nem hitelesített távoli támadó tetszőleges kódot futtathat az eszközön. Az interneten keresztül a termék szolgáltatásmegtagadási (DoS) támadásnak is ki lehet téve.

<Puffertúlcsordulás>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Nem érkezett bejelentés arról, hogy ezeket a biztonsági réseket kihasználták volna. A termék biztonságos használatához azonban azt javasoljuk ügyfeleinknek, hogy telepítsék az alább megtalálható érintett modellekhez elérhető legújabb firmware-t. Szintén javasoljuk, hogy az ügyfelek állítsanak be privát IP-címet az egyes termékekhez, és hozzanak létre egy, a hálózati hozzáférés korlátozására képes tűzfallal vagy vezetékes/Wi-Fi-routerrel védett hálózati környezetet.

A hálózathoz csatlakoztatott termékek védelméről szóló további részleteket lásd a Termékbiztonság oldalon.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

  • CVE-2023-6229: Nguyen Quoc (Viet), a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-6230: Anonim, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-6231: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-6232: ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-6233: ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-6234: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2024-0244: Connor Ford (@ByteInsight), Nettitude, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
 

CPE2023-001 – A biztonsági résekről az irodai/kis irodai többfunkciós nyomtatók, lézernyomtatók és tintasugaras nyomtatók esetében – 2023. április 14. (Frissítve: 2023. szeptember 30.)

Egyes irodai/kis irodai multifunkciós nyomtatók, lézernyomtatók és tintasugaras nyomtatók esetében több biztonsági rést azonosítottak.

A biztonsági rések miatt ha egy termék (vezetékes vagy Wi-Fi-)router használata nélkül csatlakozik közvetlenül az internethez, akkor egy nem hitelesített távoli támadó tetszőleges kódot futtathat az eszközön. Az interneten keresztül a termék szolgáltatásmegtagadási (DoS) támadásnak is ki lehet téve. A támadó tetszőleges fájlokat is telepíthet a RemoteUI nem megfelelő hitelesítése miatt.

<Puffertúlcsordulás>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<A vezérlési protokollal kapcsolatos problémák a rendszergazdák kezdeti regisztrációja során>
CVE-2023-0857

<A RemoteUI nem megfelelő hitelesítése>
CVE-2023-0858

<Tetszőleges fájlok telepítése>
CVE-2023-0859

Nem érkezett bejelentés arról, hogy ezeket a biztonsági réseket kihasználták volna. A termék biztonságos használatához azonban azt javasoljuk ügyfeleinknek, hogy telepítsék az alább megtalálható érintett modellekhez elérhető legújabb firmware-t. Szintén javasoljuk, hogy az ügyfelek állítsanak be privát IP-címet az egyes termékekhez, és hozzanak létre egy, a hálózati hozzáférés korlátozására képes tűzfallal vagy vezetékes/Wi-Fi-routerrel védett hálózati környezetet.

A hálózathoz csatlakoztatott termékek védelméről szóló további részleteket lásd a Termékbiztonság oldalon.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A MAXIFY, PIXMA és imagePROGRAF tintasugaras nyomtatók firmware-ének frissítésével kapcsolatos információkért lásd az Online kézikönyvet.

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

  • CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés által
  • CVE-2023-0852: R-SEC, Nettitude, a Trend Micro Zero Day Initiative kezdeményezés által
  • CVE-2023-0853: DEVCORE, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-0854: DEVCORE, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-0855: Chi Tran, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-0856: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
  • CVE-2023-0857: Alex Rubin és Martin Rakhmanov
  • CVE-2023-0858: Alex Rubin és Martin Rakhmanov
  • CVE-2023-0859: Alex Rubin és Martin Rakhmanov
 

A lézer- és kisméretű többfunkciós irodai nyomtatók puffertúlcsordulása elleni biztonsági réssel kapcsolatos intézkedésről (CVE-2022-43608) – 2022. november 25. (Frissítve: 2023. augusztus 30.)

A Canon lézer- és kisméretű multifunkciós irodai nyomtatóinál több esetben is puffertúlcsordulással kapcsolatos biztonsági réseket azonosítottak.

Bár nem érkezett jelentés visszaélésekről, ajánljuk a készülék firmware-ének frissítését a legújabb verzióra.

A biztonsági rés miatt ha egy termék vezetékes vagy Wi-Fi-router használata nélkül csatlakozik közvetlenül az internethez, egy harmadik fél az interneten tetszőleges kódot futtathat, vagy a termék szolgáltatásmegtagadási (DoS) támadásnak lehet kitéve.

Javasoljuk, hogy ne csatlakozz közvetlenül az internethez – használj privát IP-címet tűzfalon vagy vezetékes/Wi-Fi-routeren keresztül konfigurált biztonságos magánhálózaton. Lásd a www.canon-europe.com/support/product-security weboldalon a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A Canon szeretné megköszönni a következő kutatónak a biztonsági rés azonosítását.

  • CVE-2022-43608: Angelboy (@scwuaptx) a DEVCORE kutatócsoporttól, a Trend Micro's Zero Day Initiative munkatársa
 

A CPE2023-003 tintasugaras nyomtatók (otthoni és irodai/széles formátumú) biztonsági résének kárenyhítése/javítása – 2023. augusztus 15.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

A CP2023-003 tintasugaras nyomtatók (otthoni és irodai/széles formátumú) biztonsági résének kárenyhítése/javítása – Canon PSIRT

 

CPE2023-002 – IJ Network Tool Wi-Fi-kapcsolat beállításával kapcsolatos biztonsági rései – 2023. május 18.

Leírás

Az IJ Network Tool (a továbbiakban: szoftver) esetében két biztonsági rést azonosítottak. Ezek a sebezhetőségek azt a lehetőséget jelentik, hogy a nyomtatóval azonos hálózathoz csatlakozó támadó a szoftver használatával vagy a nyomtató kommunikációjára való hivatkozással érzékeny információkat szerezhet a nyomtató Wi-Fi kapcsolatának beállításáról.


CVE/CVSS

CVE-2023-1763: A nyomtató Wi-Fi kapcsolatának beállítására vonatkozó érzékeny információk megszerzése a szoftverből. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Alappontszám: 6,5.

CVE-2023-1764: A nyomtató Wi-Fi kapcsolatának beállítására vonatkozó érzékeny információk megszerzése a szoftver kommunikációjából. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Alappontszám: 6,5.


Érintett termékek

A következő modelleket érinti a CVE-2023-1763: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Windows Network Tool: 

Nem alkalmazható

A következő modelleket érinti a CVE-2023-1764: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Windows Network Tool: 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Érintett verziók

A CVE-2023-1763 a következő verziókat érinti: 

Mac Network Tool: 

4.7.5 és korábbi verziók (támogatott operációs rendszerek: OS X 10.9.5 – macOS 13) 

4.7.3 és korábbi verziók (támogatott operációs rendszerek: OS X 10.7.5–OS X 10.8)


Windows Network Tool: 

Nem alkalmazható


A CVE-2023-1764 a következő verziókat érinti: 

Mac Network Tool: 

4.7.5 és korábbi verziók (támogatott operációs rendszerek: OS X 10.9.5 – macOS 13) 

4.7.3 és korábbi verziók (támogatott operációs rendszerek: OS X 10.7.5–OS X 10.8)


Windows Network Tool: 

Ver.3.7.0


Kárenyhítés/helyreállítás

A CVE-2023-1763 esetén: 

A biztonsági rés lehetséges megoldása megbízható hálózati kapcsolattal rendelkező nyomtatók használata. Lásd a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt itt

Továbbá a Mac Network Tool használata esetén töltsd le a kiadott frissített szoftververziókat. 

A MAXIFY és PIXMA tintasugaras nyomtatók szoftverének 4.7.6 (támogatott operációs rendszer: OS X 10.9.5 – macOS 13) vagy 4.7.4 (támogatott operációs rendszer: OS X 10.7.5 – OS X 10.8) verzióra történő frissítésének lépéseiért, kérjük, látogass el a Fogyasztói terméktámogatás szoftverletöltő oldalra, és válaszd ki a modellt, válaszd a Szoftver lapot, majd az IJ hálózati eszköz vagy a Wi-Fi Connection Assistant lehetőséget.

A CVE-2023-1764 esetén: 

A biztonsági rés lehetséges megoldása megbízható hálózati kapcsolattal rendelkező nyomtatók használata. Lásd a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt itt.

Köszönetnyilvánítás

A Canon szeretne köszönetet mondani a holland Nemzeti Kiberbiztonsági Központnak a biztonsági rések bejelentéséért.

 

uniFLOW MOM műszaki támogatás, biztonsági rés az adatok esetleges veszélyeztetettsége miatt – 2023. január 20.

A uniFLOW kiszolgálóban és a uniFLOW távoli nyomtatókiszolgálóban az adatok esetleges veszélyeztetettsége miatti biztonsági rést találtak.

Bár nem érkezett jelentés visszaélésekről, ajánljuk a frissítést a legújabb verzióra.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: MOM műszaki támogatás, biztonsági rés – NT-ware támogatás

 

A lézer- és kisméretű multifunkciós irodai nyomtatók puffertúlcsordulása elleni biztonsági réssel kapcsolatos intézkedésről – 2022. augusztus 09

A Canon lézer- és kisméretű multifunkciós irodai nyomtatóinál több esetben is puffertúlcsordulással kapcsolatos biztonsági réseket azonosítottak. A kapcsolódó CVE-k a következők: CVE-2022-24672, CVE-2022-24673 és CVE-2022-24674. Az érintett modellek listája alább található.

Bár nem érkezett jelentés visszaélésekről, kérjük, frissítsd a készülék firmware-ét a legújabb verzióra.

A biztonsági rés miatt ha egy termék vezetékes vagy Wi-Fi-router használata nélkül csatlakozik közvetlenül az internethez, egy harmadik fél az interneten tetszőleges kódot futtathat, vagy a termék szolgáltatásmegtagadási (DoS) támadásnak lehet kitéve.

Javasoljuk, hogy ne csatlakozz közvetlenül az internethez – használj privát IP-címet tűzfalon vagy vezetékes/Wi-Fi-routeren keresztül konfigurált biztonságos magánhálózaton. Lásd a www.canon-europe.com/support/product-security weboldalon a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

A lézer- és kisméretű multifunkciós irodai nyomtatók, amelyek esetében végre kell hajtani az ellenintézkedést:


imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A CANON szeretné megköszönni a következő személyeknek, hogy azonosítsák ezt a biztonsági rést.

  • CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho), a @Synactiv és a Trend Micro's Zero Day Initiative munkatársai
  • CVE-2022-24673: Angelboy (@scwuaptx) a DEVCORE kutatócsoporttól, a Trend Micro's Zero Day Initiative munkatársa
  • CVE-2022-24674: Nicolas Devillers ( @nikaiw ), Jean-Romain Garnier és Raphael Rigo ( @_trou_ ) a Trend Micro's Zero Day Initiative munkatársai
 

Spring4Shell biztonsági rés (CVE-2022- 22965, CVE-2022-22947, CVE-2022- 22950, CVE-2022-22963) – frissítve: 2022. április 28.

A JDK 9+ rendszeren futó Spring MVC vagy Spring WebFlux alkalmazás sebezhető és adatkapcsolaton keresztül távoli kódfuttatást (RCE) tehet lehetővé. A sebezhetőség kihasználásának előfeltétele, hogy az alkalmazás a Tomcat-en fusson WAR formátumban telepítve. Ha az alkalmazást Spring Boot végrehajtható jar-ként telepítik, azaz az alapértelmezett módon, akkor nincs kitéve a biztonsági résnek. A biztonsági rés jellege azonban általánosabb jellegű, és más módszerek is lehetnek a kihasználására. A rosszindulatú fájl gyakorlatilag bármit megtehet: adatokat vagy titkokat szivárogtathat ki, más szoftvereket, például zsarolóprogramokat indíthat el, kriptovalutákat bányászhat, újabb biztonsági réseket hozhat létre, vagy akár az egész hálózatra átterjedhet.

https://cpp.canon/products-technologies/security/latest-news/

Az oldal célja, hogy felsorolja azokat a Canon Production Printing (CPP) termékeket, amelyekre érvényesek lehetnek a következő CVE-jelentések:

  • CVE-2022-22947
  • CVE-2022-22950
  • CVE-2022-22963
  • CVE-2022-22965

Az alábbi táblázat a felsorolt Canon Production Printing hardver- és szoftvertermékek biztonsági réseket érintő állapotát mutatja be. Kérjük, rendszeresen ellenőrizd ezt az oldalt, hogy értesülj a frissített állapotról.

Vizsgált termékek és állapot

CTS – vágottlapos és tonerrendszerek/tintasugaras lapadagolós nyomdagép

Termékek

Állapot

PRISMAsync nyomtatószerver alapú termékek

Nem érintett

varioPRINT 140 sorozat

Nem érintett

varioPRINT 6000 sorozat

Nem érintett

varioPRINT i sorozat

Nem érintett

varioPRINT iX sorozat

Nem érintett

Service Control Station (SCS) a VPi300 és VPiX sorozathoz

Nem érintett

Táblagép a VPi300 és VPiX sorozathoz

Nem érintett

PRISMAsync i300/iX szimulátor

Nem érintett

PRISMAprepare V6

Nem érintett

PRISMAprepare V7

Nem érintett

PRISMAprepare V8

Nem érintett

PRISMAdirect V1

Nem érintett

PRISMAprofiler

Nem érintett

PRISMA Cloud

PRISMA Home

PRISMAprepare Go

PRISMAlytics Accounting

Nem érintett


PPP – kereskedelmi célú nyomtatási termékek

Termékek

Állapot

ColorStream 3×00

ColorStream 3x00Z

Nem érintett

Colorstream 6000

Nem érintett

ColorStream 8000

Nem érintett

ProStream 1×00

Nem érintett

LabelStream 4000 sorozat

Nem érintett

ImageStream

Nem érintett

JetStream V1

JetStream V2

Nem érintett

VarioStream 4000

Nem érintett

VarioStream 7000 sorozat

Nem érintett

VarioStream 8000

Nem érintett

PRISMAproduction Server V5

Nem érintett

PRISMAproduction gazdagép

Nem érintett

PRISMAcontrol

Nem érintett

PRISMAspool

Nem érintett

PRISMAsimulate

Új verzió érhető el*

TrueProof

Nem érintett

DocSetter

Nem érintett

DPconvert

Nem érintett

* Kérjük, vedd fel a kapcsolatot a Canon helyi szervizképviselőjével

LFG – nagy formátumú grafika

Termékek

Állapot

Arizona sorozat

vizsgálat alatt

Colorado sorozat

Nem érintett

ONYX HUB

vizsgálat alatt

ONYX Thrive

vizsgálat alatt

ONYX ProductionHouse

vizsgálat alatt


TDS – műszaki dokumentációs rendszerek

Termékek

Állapot

TDS sorozat

Nem érintett

PlotWave sorozat

Nem érintett

ColorWave sorozat

Nem érintett

Scanner Professional

Nem érintett

Driver Select, Driver Express, Publisher Mobile

Nem érintett

Publisher Select

Nem érintett

Account Console

Nem érintett

Repro Desk

Nem érintett


Szerviz- és támogatási eszközök

Termékek

Állapot

Távoli szolgáltatások

Nem érintett


 

RSA kulcsgenerálási biztonsági rés a vállalati/kis irodai multifunkciós nyomtatók, lézernyomtatók és tintasugaras nyomtatók esetén – 2022. április 4.

Megerősítést nyert, hogy a Canon egyes vállalati/kis irodai multifunkciós, lézer- és tintasugaras nyomtatóira telepített kriptográfiai könyvtár RSA kulcsgenerálási folyamatában biztonsági rés található. Az érintett termékek teljes listája alább található.

A biztonsági rés kapcsán felmerül annak a kockázata, hogy az RSA kulcspár létrehozásának során jelentkező probléma révén külső fél hozzáférést szerezhet az RSA nyilvános kulcshoz.
Ha a TLS- vagy IPSec-protokollhoz használt RSA kulcspárt az említett biztonsági réssel érintett kriptográfiai könyvtár hozta létre, az RSA nyilvános kulcs harmadik fél tulajdonába kerülhet vagy meghamisíthatják.

Eddig nem kaptunk jelentést a biztonsági rés kihasználásáról, és a felhasználók biztosak lehetnek abban, hogy az érintett termékek firmware-jének javítása megtörténik

Ahol az RSA kulcspárt az említett biztonsági réssel érintett kriptográfiai könyvtár hozta létre, a firmware frissítése után további lépésekre van szükség. Az érintett típustól függően kövesd a kulcs ellenőrzésével és a megfelelő intézkedések megtételével kapcsolatos alább ismertetett lépéseket.

Továbbá ne csatlakoztasd a termékeket közvetlenül az internethez, hanem használj tűzfalat, vezetékes kapcsolatot vagy Wi-Fi-router használata esetén biztonságos, magánhálózati környezetet. Állíts be egy privát IP-címet is.

A részleteket lásd a Termékek biztonságos csatlakoztatása a hálózathoz című részben.

A következő vállalati/kis irodai multifunkciós, lézer- és tintasugaras nyomtatók esetében szükséges intézkedéseket tenni:

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300, PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P

Az Inkjet nyomtatók kulcsának ellenőrzéséhez és a probléma megoldásához szükséges lépések

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

 

„Log4j” RCE [CVE-2021-44228], „Log4j” RCE [CVE-2021-45046] és „Log4j” DOS [CVE-2021-45105] biztonsági rés – 2022. január 12. (Frissítés: 2023. december 7.)

Jelenleg vizsgáljuk a „Log4j” biztonsági rés Canon termékekre gyakorolt hatását: https://logging.apache.org/log4j/2.x/security.html Ahogy új információ kerül a birtokunkba, frissítjük a cikket.

Az alábbi táblázat a felsorolt hardver- és szoftvertermékek biztonsági réseket érintő állapotát mutatja be. Kérjük, rendszeresen látogass vissza erre az oldalra.

Termék

Állapot/nyilatkozat

Canon

• imageRUNNER

• imageRUNNER ADVANCE

• imagePRESS

• i-SENSYS

• i-SENSYS X

• imagePROGRAF

• imageFORMULA

Ezek az eszközök nem érintettek.

Canon

• imageWARE Management Console

• imageWARE Enterprise Management Console

• eMaintenance Optimiser

• eMaintenance Universal Gateway

• Canon Data Collection Agent

• Remote Support Operator Kit

• Content Delivery Service

• Device Settings Configurator

• Canon Reporting Service Online

• OS400 Object Generator

• CQue Driver

• SQue Driver

A szoftver nem érintett.

Canon Production Printing

• PRISMA vágottlapos és tonerrendszerek

• Folyamatos nyomtatás

• Nagy formátumú grafika

• Műszaki dokumentumokhoz való rendszerek

https://cpp.canon/products-technologies/security/latest-news/

NT-ware

• uniFLOW

• uniFLOW Online

• uniFLOW Online Express

• uniFLOW sysHub

• PRISMAsatellite

https://www.uniflow.global/en/security/security-and-maintenance/

Avantech

• Scan2x

• Scan2x Online

Scan2x nyilatkozat a Log4J biztonsági réséről - scan2x

Cirrato

• Cirrato One

• Cirrato Embedded

Nem érintett.

Compart

• DocBridge Suite

Információ - Compart

DocsPro

• Importvezérlő

• XML-importáló

• E-mail-importáló

• Tudásbázis

• Univerzális tesztkiadás

• Speciális PDF-készítő

• Webszolgáltatás-export összekötő

Nem érintett.

Docuform

• Mercury Suite

Nem érintett.

Doxsense

• WES Pull Print 2.1

• WES Authentication 2.1

Nem érintett.

EFI

• Fiery

https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US

Genius Bytes

• Genius MFP Canon Client

Log4j Zero Day biztonsági rés - Genius Bytes

Nem érintett

IRIS

• IRISXtract

• IRISPowerscan

• Readiris PDF 22

• Readiris 16 & 17

• Cardiris

• IRISPulse

IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)

Valamennyi termékhez frissítések érhetők el

Kantar

• Discover Assessment Web Survey

Nem érintett.

Kofax

• PowerPDF

• eCopy ShareScan

• Robotic Process Automation

• Kofax Communication Manager Solution

Kofax termékek és Apache Log4j2 biztonsági réssel kapcsolatos információk – Kofax

Nem érintett.

A ShareScan javítócsomagok elkészültéig kövesse a ShareScan és a Log4j biztonsági rés (CVE-2021-44228) Kofax cikkében leírt lépéseket.

Rendelkezésre állnak javítások. Lásd a következő cikket: A Kofax RPA CVE-2021-44228 log4j biztonsági rések kihasználásával kapcsolatos tudnivalók.

Rendelkezésre állnak javítások. Lásd a következő cikket: A Kofax Communications Manager log4j biztonsági rése.

Netaphor

• SiteAudit

SiteAudit biztonsági rés kitettség | Netaphor SiteAudit(TM) tudásbázis

Netikus

• EventSentry

Érintett-e az EventSentry a Log4Shell Log4j RCE CVE-2021-44228 által | EventSentry

Newfield IT

• Asset DB

Nem érintett.

Objectif Lune

• Kapcsolódás

Az Objectif Lune Connect korábbi verziói a log4j modult használták, de az Objectif Lune Connect 2018.1 verziójának megjelenésével a modul eltávolításra került. Amíg az Objectif Lune Connect 2018.1 vagy újabb verziója fut, a biztonsági rés nem jelentkezik.

OptimiDoc

• OptimiDoc

OptimiDoc | Log4j információ

Általános

• Print In City

Nem érintett.

PaperCut

• PaperCut

Log4Shell (CVE-2021-44228) - Hogyan érinti a PaperCut elemet? | PaperCut

Paper River

• TotalCopy

Nem érintett.

Ringdale

• FollowMe Embedded

Nem érintett.

Quadient

• Inspire Suite

Quadient University Log4J információ meglévő ügyfelek számára

T5 Solutions

• TG-PLOT/CAD-RIP

Nem érintett.

Therefore

• Therefore

• Therefore Online

https://therefore.net/log4j-therefore-unaffected/

Westpole

• Intelligens nyomtatásmenedzsment

Nem érintett.

 

Helyközi, parancsfájlt tartalmazó támadásra lehetőséget adó biztonsági rés a kis irodák számára ideális lézernyomtatók és multifunkciós eszközök esetében – 2022. január 11.

Helyközi, parancsfájlt tartalmazó támadásra lehetőséget adó biztonsági rést azonosítottunk a kis irodák számára ideális Canon lézernyomtatók és multifunkciós eszközök Távoli felhasználói felület funkciójában – az érintett modelleket lásd alább (biztonsági rés azonosítószáma: JVN # 64806328).

A biztonsági rés kihasználásához a támadónak rendszergazda módban kell lennie. Bár nem jelentettek adatszivárgást, a biztonság növelése érdekében javasoljuk a legújabb firmware-telepítését. A frissítések a https://www.canon-europe.com/support/ címen találhatók.

Azt is javasoljuk, hogy állíts be privát IP-címet és olyan hálózati környezetet, amely biztosítja, hogy a kapcsolat olyan tűzfalon vagy Wi-Fi-routeren keresztül jön létre, amely korlátozhatja a hálózati hozzáférést. Az eszközök hálózathoz történő csatlakoztatása esetén szükséges biztonsági intézkedéseket lásd a https://www.canon-europe.com/support/product-security/ oldalon.

Érintett termékek:

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F
 

Windows nyomtatási sorkezelő távoli kódfuttatásával kapcsolatos biztonsági rés – 2021. november 16-án frissítve

Az év elején fedezték fel a Microsoft Windows nyomtatásisor-kezelő biztonsági rését – amelyet azóta „PrintNightmare” néven ismerünk. A biztonsági rés lehetővé teszi a hackerek számára, hogy bizonyos körülmények között átvegyék a felhasználók Windows-rendszereinek irányítását.

Bár ez hatással lehet a Canon készülékek felhasználóira, a probléma a Microsoft szoftver hibájának következménye, nem pedig a Canon termékeivel vagy szoftvereivel kapcsolatos problémáé. A probléma konkrétan a nyomtatásvezérlő funkcióban van, amely minden egyes Windows Serverre és Windows asztali gépre telepítve van.

A Microsoft bejelentette, hogy a fenyegetéseket a Microsoft július 6-i biztonsági frissítésével elhárította, amely frissítés a Windows Update szolgáltatáson keresztül vagy a KB5004945 letöltésével és telepítésével érhető el. A Microsoft a frissítés azonnali alkalmazását javasolja az illetékes informatikai szakembereknek, hogy megelőzhetők legyenek a biztonsági rés miatt fellépő fenyegetések. A Microsoft ezzel kapcsolatos teljes körű tájékoztatása az alábbi oldalon olvasható: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

A frissítések Microsoft által javasolt telepítése mellett mi azt tanácsoljuk, hogy a rendszert azzal is tedd biztonságosabbá, hogy meggyőződsz róla, az alábbi rendszerleíró beállítások értéke 0 (zéró) vagy nincs megadva (megjegyzés: ezek az alapértelmezett regisztrációs kódok, ezért alapból a biztonságos beállítások vannak érvényben). Azt is ellenőrizd, hogy a Csoportházirend beállításai megfelelőek-e:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) vagy nincs meghatározva (alapértelmezett beállítás)
  • UpdatePromptSettings = 0 (DWORD) vagy nincs meghatározva (alapértelmezett beállítás)

Ha a „NoWarningNoElevationOnInstall” rendszerleíró kulcs 1-es értékre van állítva, akkor csökken a rendszer biztonsági helyzete.

Azt javasoljuk, hogy az IT-csapat továbbra is kövesse nyomon a Microsoft támogatási webhelyét annak érdekében, hogy az operációs rendszer összes vonatkozó javítása alkalmazásra kerüljön.

További ajánlatok…