Termékbiztonság

Korláton kívüli biztonsági réseket találtunk az irodai/kis irodai multifunkciós nyomtatók és lézernyomtatók által használt egyes nyomtató-illesztőprogramok esetében, amelyek megakadályozhatják a nyomtatást egy létrehozott XPS-dokumentum nyomtatásakor.

CVE/CVSS

CVE-2025-0234: Korláton kívüli biztonsági rés az érintett nyomtató-illesztőprogramban a görbeszegmens-feldolgozás során.

CVSS 4 verzió CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (alappontszám: 6,9).

CVSS 3 verzió CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (alappontszám: 5,3).

CVE-2025-0235: Korláton kívüli biztonsági rés az érintett nyomtató-illesztőprogramban a memória nem megfelelő felszabadítása miatt a képrenderelés során.

CVSS 4 verzió CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (alappontszám: 6,9).

CVSS 3 verzió CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (alappontszám: 5,3).

CVE-2025-0236: Korláton kívüli biztonsági rés az érintett nyomtató-illesztőprogramban a görbemegjelenítés során történő meredekségfeldolgozásban.

CVSS 4 verzió CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (alappontszám: 6,9).

CVSS 3 verzió CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (alappontszám: 5,3).

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

CP2025-002 Irodai/kis irodai többfunkciós nyomtatók és lézernyomtatók által használt egyes nyomtató-illesztőprogramok biztonsági résének kárenyhítése

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

• CVE-2025-0234, CVE-2025-0235 és CVE-2025-0236: devoke@HUST, wh1tc és Zhiniang Peng (@edwardzpeng), a Kap0k Security Team résztvevői

Egyes kis irodai többfunkciós nyomtatók és lézernyomtatók esetében több biztonsági rést azonosítottak.

A biztonsági rések miatt ha egy termék (vezetékes vagy Wi-Fi-)router használata nélkül csatlakozik közvetlenül az internethez, akkor egy nem hitelesített távoli támadó tetszőleges kódot futtathat az eszközön. Az interneten keresztül a termék szolgáltatásmegtagadási (DoS) támadásnak is ki lehet téve.

<Puffertúlcsordulás>
CVE-2024-12647
CVE-2024-12648
CVE-2024-12649

Nem érkezett bejelentés arról, hogy ezeket a biztonsági réseket kihasználták volna. A termék biztonságos használatához azonban azt javasoljuk ügyfeleinknek, hogy telepítsék az alább megtalálható érintett modellekhez elérhető legújabb firmware-t. Szintén javasoljuk, hogy az ügyfelek állítsanak be privát IP-címet az egyes termékekhez, és hozzanak létre egy, a hálózati hozzáférés korlátozására képes tűzfallal vagy vezetékes/Wi-Fi-routerrel védett hálózati környezetet.

A hálózathoz csatlakoztatott termékek védelméről szóló további részleteket lásd a Termékbiztonság oldalon.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

• CVE-2024-12647: ExLuck (@ExLuck99), ANHTUD, a Trend Micro Zero Day Initiative kezdeményezésének résztvevője
• CVE-2024-12648: Neodyme (@Neodyme), a Trend Micro Zero Day Initiative kezdeményezésének résztvevője
• CVE-2024-12649: PHP Hooligans / Midnight Blue (@midnightbluelab), a Trend Micro Zero Day Initiative kezdeményezésének résztvevője

Az azonosítókártyák egyediségére vonatkozó potenciális hibát azonosítottak az NT-ware által új márkanév alatt kiadott (eredetileg az rf IDEAS által kifejlesztett és terjesztett) kártyaolvasókban, amelyet a CVE-2024-1578 jelentésben tettek közzé.

Bár nem érkezett jelentés visszaélésekről, azt ajánljuk, olvasd el az adott linken található javasolt biztonsági intézkedéseket.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: Több MiCard PLUS kártyaolvasónál jelentkezett karakterkihagyás

A uniFLOW Online rendszerben az eszközregisztráció során előforduló potenciális károsodás veszélyét azonosították, amelyet a CVE-2024-1621 jelentésben tettek közzé.

Bár nem érkezett jelentés visszaélésekről, azt ajánljuk, olvasd el az adott linken található javasolt biztonsági intézkedéseket.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: Az eszközregisztráció károsodás veszélyének van kitéve

A WSD protokoll folyamatában puffertúlcsordulással kapcsolatos biztonsági rést azonosítottak egyes kis irodai többfunkciós nyomtatók és lézernyomtatók esetében.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

CP2024-002 – Kis irodai többfunkciós nyomtatók és lézernyomtatók biztonsági résének kárenyhítése/javítása – Canon PSIRT.

Egyes kis irodai többfunkciós nyomtatók és lézernyomtatók esetében több biztonsági rést azonosítottak.

A biztonsági rések miatt ha egy termék (vezetékes vagy Wi-Fi-)router használata nélkül csatlakozik közvetlenül az internethez, akkor egy nem hitelesített távoli támadó tetszőleges kódot futtathat az eszközön. Az interneten keresztül a termék szolgáltatásmegtagadási (DoS) támadásnak is ki lehet téve.

<Puffertúlcsordulás>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Nem érkezett bejelentés arról, hogy ezeket a biztonsági réseket kihasználták volna. A termék biztonságos használatához azonban azt javasoljuk ügyfeleinknek, hogy telepítsék az alább megtalálható érintett modellekhez elérhető legújabb firmware-t. Szintén javasoljuk, hogy az ügyfelek állítsanak be privát IP-címet az egyes termékekhez, és hozzanak létre egy, a hálózati hozzáférés korlátozására képes tűzfallal vagy vezetékes/Wi-Fi-routerrel védett hálózati környezetet.

A hálózathoz csatlakoztatott termékek védelméről szóló további részleteket lásd a Termékbiztonság oldalon.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

• CVE-2023-6229: Nguyen Quoc (Viet), a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-6230: Anonim, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-6231: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-6232: ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-6233: ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-6234: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2024-0244: Connor Ford (@ByteInsight), Nettitude, a Trend Micro Zero Day Initiative kezdeményezés résztvevője

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

A CP2023-003 tintasugaras nyomtatók (otthoni és irodai/széles formátumú) biztonsági résének kárenyhítése/javítása – Canon PSIRT

Leírás

Az IJ Network Tool (a továbbiakban: szoftver) esetében két biztonsági rést azonosítottak. Ezek a sebezhetőségek azt a lehetőséget jelentik, hogy a nyomtatóval azonos hálózathoz csatlakozó támadó a szoftver használatával vagy a nyomtató kommunikációjára való hivatkozással érzékeny információkat szerezhet a nyomtató Wi-Fi kapcsolatának beállításáról.

CVE/CVSS

CVE-2023-1763: A nyomtató Wi-Fi kapcsolatának beállítására vonatkozó érzékeny információk megszerzése a szoftverből. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Alappontszám: 6,5.

CVE-2023-1764: A nyomtató Wi-Fi kapcsolatának beállítására vonatkozó érzékeny információk megszerzése a szoftver kommunikációjából. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Alappontszám: 6,5.

Érintett termékek

A következő modelleket érinti a CVE-2023-1763: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Windows Network Tool: 

Nem alkalmazható

A következő modelleket érinti a CVE-2023-1764: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Windows Network Tool: 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

WP-20 vezeték nélküli nyomtatószerver

Érintett verziók

A CVE-2023-1763 a következő verziókat érinti: 

Mac Network Tool: 

4.7.5 és korábbi verziók (támogatott operációs rendszerek: OS X 10.9.5 – macOS 13) 

4.7.3 és korábbi verziók (támogatott operációs rendszerek: OS X 10.7.5–OS X 10.8)

Windows Network Tool: 

Nem alkalmazható

A CVE-2023-1764 a következő verziókat érinti: 

Mac Network Tool: 

4.7.5 és korábbi verziók (támogatott operációs rendszerek: OS X 10.9.5 – macOS 13) 

4.7.3 és korábbi verziók (támogatott operációs rendszerek: OS X 10.7.5–OS X 10.8)

Windows Network Tool: 

Ver.3.7.0

Kárenyhítés/helyreállítás

A CVE-2023-1763 esetén: 

A biztonsági rés lehetséges megoldása megbízható hálózati kapcsolattal rendelkező nyomtatók használata. Lásd a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt itt. 

Továbbá a Mac Network Tool használata esetén töltsd le a kiadott frissített szoftververziókat. 

A MAXIFY és PIXMA tintasugaras nyomtatók szoftverének 4.7.6 (támogatott operációs rendszer: OS X 10.9.5 – macOS 13) vagy 4.7.4 (támogatott operációs rendszer: OS X 10.7.5 – OS X 10.8) verzióra történő frissítésének lépéseiért, kérjük, látogass el a Fogyasztói terméktámogatás szoftverletöltő oldalra, és válaszd ki a modellt, válaszd a Szoftver lapot, majd az IJ hálózati eszköz vagy a Wi-Fi Connection Assistant lehetőséget.

A CVE-2023-1764 esetén: 

A biztonsági rés lehetséges megoldása megbízható hálózati kapcsolattal rendelkező nyomtatók használata. Lásd a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt itt.

Köszönetnyilvánítás

A Canon szeretne köszönetet mondani a holland Nemzeti Kiberbiztonsági Központnak a biztonsági rések bejelentéséért.

Egyes irodai/kis irodai multifunkciós nyomtatók, lézernyomtatók és tintasugaras nyomtatók esetében több biztonsági rést azonosítottak.

A biztonsági rések miatt ha egy termék (vezetékes vagy Wi-Fi-)router használata nélkül csatlakozik közvetlenül az internethez, akkor egy nem hitelesített távoli támadó tetszőleges kódot futtathat az eszközön. Az interneten keresztül a termék szolgáltatásmegtagadási (DoS) támadásnak is ki lehet téve. A támadó tetszőleges fájlokat is telepíthet a RemoteUI nem megfelelő hitelesítése miatt.

<Puffertúlcsordulás>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<A vezérlési protokollal kapcsolatos problémák a rendszergazdák kezdeti regisztrációja során>
CVE-2023-0857

<A RemoteUI nem megfelelő hitelesítése>
CVE-2023-0858

<Tetszőleges fájlok telepítése>
CVE-2023-0859

Nem érkezett bejelentés arról, hogy ezeket a biztonsági réseket kihasználták volna. A termék biztonságos használatához azonban azt javasoljuk ügyfeleinknek, hogy telepítsék az alább megtalálható érintett modellekhez elérhető legújabb firmware-t. Szintén javasoljuk, hogy az ügyfelek állítsanak be privát IP-címet az egyes termékekhez, és hozzanak létre egy, a hálózati hozzáférés korlátozására képes tűzfallal vagy vezetékes/Wi-Fi-routerrel védett hálózati környezetet.

A hálózathoz csatlakoztatott termékek védelméről szóló további részleteket lásd a Termékbiztonság oldalon.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A MAXIFY, PIXMA és imagePROGRAF tintasugaras nyomtatók firmware-ének frissítésével kapcsolatos információkért lásd az Online kézikönyvet.

A Canon szeretné megköszönni a következő kutatóknak a biztonsági rések azonosítását:

• CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD, a Trend Micro Zero Day Initiative kezdeményezés által
• CVE-2023-0852: R-SEC, Nettitude, a Trend Micro Zero Day Initiative kezdeményezés által
• CVE-2023-0853: DEVCORE, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-0854: DEVCORE, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-0855: Chi Tran, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-0856: Team Viettel, a Trend Micro Zero Day Initiative kezdeményezés résztvevője
• CVE-2023-0857: Alex Rubin és Martin Rakhmanov
• CVE-2023-0858: Alex Rubin és Martin Rakhmanov
• CVE-2023-0859: Alex Rubin és Martin Rakhmanov

A uniFLOW kiszolgálóban és a uniFLOW távoli nyomtatókiszolgálóban az adatok esetleges veszélyeztetettsége miatti biztonsági rést találtak.

Bár nem érkezett jelentés visszaélésekről, ajánljuk a frissítést a legújabb verzióra.

A biztonsági résről, a kárenyhítésről és a probléma orvoslásáról szóló részletek itt találhatók:

Javasolt biztonsági intézkedés: MOM műszaki támogatás, biztonsági rés – NT-ware támogatás

A Canon lézer- és kisméretű multifunkciós irodai nyomtatóinál több esetben is puffertúlcsordulással kapcsolatos biztonsági réseket azonosítottak.

Bár nem érkezett jelentés visszaélésekről, ajánljuk a készülék firmware-ének frissítését a legújabb verzióra.

A biztonsági rés miatt ha egy termék vezetékes vagy Wi-Fi-router használata nélkül csatlakozik közvetlenül az internethez, egy harmadik fél az interneten tetszőleges kódot futtathat, vagy a termék szolgáltatásmegtagadási (DoS) támadásnak lehet kitéve.

Javasoljuk, hogy ne csatlakozz közvetlenül az internethez – használj privát IP-címet tűzfalon vagy vezetékes/Wi-Fi-routeren keresztül konfigurált biztonságos magánhálózaton. Lásd a www.canon-europe.com/support/product-security weboldalon a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

Ellenőrizd az érintett modelleket.

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A Canon szeretné megköszönni a következő kutatónak a biztonsági rés azonosítását.

• CVE-2022-43608: Angelboy (@scwuaptx) a DEVCORE kutatócsoporttól, a Trend Micro's Zero Day Initiative munkatársa

A Canon lézer- és kisméretű multifunkciós irodai nyomtatóinál több esetben is puffertúlcsordulással kapcsolatos biztonsági réseket azonosítottak. A kapcsolódó CVE-k a következők: CVE-2022-24672, CVE-2022-24673 és CVE-2022-24674. Az érintett modellek listája alább található.

Bár nem érkezett jelentés visszaélésekről, kérjük, frissítsd a készülék firmware-ét a legújabb verzióra.

A biztonsági rés miatt ha egy termék vezetékes vagy Wi-Fi-router használata nélkül csatlakozik közvetlenül az internethez, egy harmadik fél az interneten tetszőleges kódot futtathat, vagy a termék szolgáltatásmegtagadási (DoS) támadásnak lehet kitéve.

Javasoljuk, hogy ne csatlakozz közvetlenül az internethez – használj privát IP-címet tűzfalon vagy vezetékes/Wi-Fi-routeren keresztül konfigurált biztonságos magánhálózaton. Lásd a www.canon-europe.com/support/product-security weboldalon a „Biztonság a hálózathoz csatlakoztatott termékek számára” című részt.

Továbbra is dolgozunk a biztonsági intézkedések megerősítésén, hogy nyugodtan folytathasd a Canon termékek használatát. Ha más termékek esetében is biztonsági réseket azonosítunk, azonnal frissítjük ezt a cikket.

A lézer- és kisméretű multifunkciós irodai nyomtatók, amelyek esetében végre kell hajtani az ellenintézkedést:

imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

A CANON szeretné megköszönni a következő személyeknek, hogy azonosítsák ezt a biztonsági rést.

• CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho), a @Synactiv és a Trend Micro's Zero Day Initiative munkatársai
• CVE-2022-24673: Angelboy (@scwuaptx) a DEVCORE kutatócsoporttól, a Trend Micro's Zero Day Initiative munkatársa
• CVE-2022-24674: Nicolas Devillers ( @nikaiw ), Jean-Romain Garnier és Raphael Rigo ( @_trou_ ) a Trend Micro's Zero Day Initiative munkatársai

A JDK 9+ rendszeren futó Spring MVC vagy Spring WebFlux alkalmazás sebezhető és adatkapcsolaton keresztül távoli kódfuttatást (RCE) tehet lehetővé. A sebezhetőség kihasználásának előfeltétele, hogy az alkalmazás a Tomcat-en fusson WAR formátumban telepítve. Ha az alkalmazást Spring Boot végrehajtható jar-ként telepítik, azaz az alapértelmezett módon, akkor nincs kitéve a biztonsági résnek. A biztonsági rés jellege azonban általánosabb jellegű, és más módszerek is lehetnek a kihasználására. A rosszindulatú fájl gyakorlatilag bármit megtehet: adatokat vagy titkokat szivárogtathat ki, más szoftvereket, például zsarolóprogramokat indíthat el, kriptovalutákat bányászhat, újabb biztonsági réseket hozhat létre, vagy akár az egész hálózatra átterjedhet.

https://cpp.canon/products-technologies/security/latest-news/

Az oldal célja, hogy felsorolja azokat a Canon Production Printing (CPP) termékeket, amelyekre érvényesek lehetnek a következő CVE-jelentések:

• CVE-2022-22947
• CVE-2022-22950
• CVE-2022-22963
• CVE-2022-22965

Az alábbi táblázat a felsorolt Canon Production Printing hardver- és szoftvertermékek biztonsági réseket érintő állapotát mutatja be. Kérjük, rendszeresen ellenőrizd ezt az oldalt, hogy értesülj a frissített állapotról.

Vizsgált termékek és állapot

CTS – vágottlapos és tonerrendszerek/tintasugaras lapadagolós nyomdagép

Termékek	Állapot
PRISMAsync nyomtatószerver alapú termékek	Nem érintett
varioPRINT 140 sorozat	Nem érintett
varioPRINT 6000 sorozat	Nem érintett
varioPRINT i sorozat	Nem érintett
varioPRINT iX sorozat	Nem érintett
Service Control Station (SCS) a VPi300 és VPiX sorozathoz	Nem érintett
Táblagép a VPi300 és VPiX sorozathoz	Nem érintett
PRISMAsync i300/iX szimulátor	Nem érintett
PRISMAprepare V6	Nem érintett
PRISMAprepare V7	Nem érintett
PRISMAprepare V8	Nem érintett
PRISMAdirect V1	Nem érintett
PRISMAprofiler	Nem érintett
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Nem érintett

PPP – kereskedelmi célú nyomtatási termékek

Termékek	Állapot
ColorStream 3×00 ColorStream 3x00Z	Nem érintett
Colorstream 6000	Nem érintett
ColorStream 8000	Nem érintett
ProStream 1×00	Nem érintett
LabelStream 4000 sorozat	Nem érintett
ImageStream	Nem érintett
JetStream V1 JetStream V2	Nem érintett
VarioStream 4000	Nem érintett
VarioStream 7000 sorozat	Nem érintett
VarioStream 8000	Nem érintett
PRISMAproduction Server V5	Nem érintett
PRISMAproduction gazdagép	Nem érintett
PRISMAcontrol	Nem érintett
PRISMAspool	Nem érintett
PRISMAsimulate	Új verzió érhető el*
TrueProof	Nem érintett
DocSetter	Nem érintett
DPconvert	Nem érintett

* Kérjük, vedd fel a kapcsolatot a Canon helyi szervizképviselőjével

LFG – nagy formátumú grafika

Termékek	Állapot
Arizona sorozat	vizsgálat alatt
Colorado sorozat	Nem érintett
ONYX HUB	vizsgálat alatt
ONYX Thrive	vizsgálat alatt
ONYX ProductionHouse	vizsgálat alatt

TDS – műszaki dokumentációs rendszerek

Termékek	Állapot
TDS sorozat	Nem érintett
PlotWave sorozat	Nem érintett
ColorWave sorozat	Nem érintett
Scanner Professional	Nem érintett
Driver Select, Driver Express, Publisher Mobile	Nem érintett
Publisher Select	Nem érintett
Account Console	Nem érintett
Repro Desk	Nem érintett

Szerviz- és támogatási eszközök

Termékek	Állapot
Távoli szolgáltatások	Nem érintett

Megerősítést nyert, hogy a Canon egyes vállalati/kis irodai multifunkciós, lézer- és tintasugaras nyomtatóira telepített kriptográfiai könyvtár RSA kulcsgenerálási folyamatában biztonsági rés található. Az érintett termékek teljes listája alább található.

A biztonsági rés kapcsán felmerül annak a kockázata, hogy az RSA kulcspár létrehozásának során jelentkező probléma révén külső fél hozzáférést szerezhet az RSA nyilvános kulcshoz.
Ha a TLS- vagy IPSec-protokollhoz használt RSA kulcspárt az említett biztonsági réssel érintett kriptográfiai könyvtár hozta létre, az RSA nyilvános kulcs harmadik fél tulajdonába kerülhet vagy meghamisíthatják.

Eddig nem kaptunk jelentést a biztonsági rés kihasználásáról, és a felhasználók biztosak lehetnek abban, hogy az érintett termékek firmware-jének javítása megtörténik

Ahol az RSA kulcspárt az említett biztonsági réssel érintett kriptográfiai könyvtár hozta létre, a firmware frissítése után további lépésekre van szükség. Az érintett típustól függően kövesd a kulcs ellenőrzésével és a megfelelő intézkedések megtételével kapcsolatos alább ismertetett lépéseket.

Továbbá ne csatlakoztasd a termékeket közvetlenül az internethez, hanem használj tűzfalat, vezetékes kapcsolatot vagy Wi-Fi-router használata esetén biztonságos, magánhálózati környezetet. Állíts be egy privát IP-címet is.

A részleteket lásd a Termékek biztonságos csatlakoztatása a hálózathoz című részben.

A következő vállalati/kis irodai multifunkciós, lézer- és tintasugaras nyomtatók esetében szükséges intézkedéseket tenni:

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300, PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P

Az Inkjet nyomtatók kulcsának ellenőrzéséhez és a probléma megoldásához szükséges lépések

A firmware-rel, szoftverrel és terméktámogatással kapcsolatos információkat lásd a Támogatás oldalon.

Jelenleg vizsgáljuk a „Log4j” biztonsági rés Canon termékekre gyakorolt hatását: https://logging.apache.org/log4j/2.x/security.html Ahogy új információ kerül a birtokunkba, frissítjük a cikket.

Az alábbi táblázat a felsorolt hardver- és szoftvertermékek biztonsági réseket érintő állapotát mutatja be. Kérjük, rendszeresen látogass vissza erre az oldalra.

Termék	Állapot/nyilatkozat
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Ezek az eszközök nem érintettek.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Remote Support Operator Kit • Content Delivery Service • Device Settings Configurator • Canon Reporting Service Online • OS400 Object Generator • CQue Driver • SQue Driver	A szoftver nem érintett.
Canon Production Printing • PRISMA vágottlapos és tonerrendszerek • Folyamatos nyomtatás • Nagy formátumú grafika • Műszaki dokumentumokhoz való rendszerek	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Scan2x nyilatkozat a Log4J biztonsági réséről - scan2x
Cirrato • Cirrato One • Cirrato Embedded	Nem érintett.
Compart • DocBridge Suite	Információ - Compart
DocsPro • Importvezérlő • XML-importáló • E-mail-importáló • Tudásbázis • Univerzális tesztkiadás • Speciális PDF-készítő • Webszolgáltatás-export összekötő	Nem érintett.
Docuform • Mercury Suite	Nem érintett.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Nem érintett.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Genius MFP Canon Client	Log4j Zero Day biztonsági rés - Genius Bytes Nem érintett
IRIS • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 & 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Discover Assessment Web Survey	Nem érintett.
Kofax • PowerPDF • eCopy ShareScan • Robotic Process Automation • Kofax Communication Manager Solution	Kofax termékek és Apache Log4j2 biztonsági réssel kapcsolatos információk – Kofax Nem érintett. A ShareScan javítócsomagok elkészültéig kövesse a ShareScan és a Log4j biztonsági rés (CVE-2021-44228) Kofax cikkében leírt lépéseket. Rendelkezésre állnak javítások. Lásd a következő cikket: A Kofax RPA CVE-2021-44228 log4j biztonsági rések kihasználásával kapcsolatos tudnivalók. Rendelkezésre állnak javítások. Lásd a következő cikket: A Kofax Communications Manager log4j biztonsági rése.
Netaphor • SiteAudit	SiteAudit biztonsági rés kitettség | Netaphor SiteAudit(TM) tudásbázis
Netikus • EventSentry	Érintett-e az EventSentry a Log4Shell Log4j RCE CVE-2021-44228 által | EventSentry
Newfield IT • Asset DB	Nem érintett.
Objectif Lune • Kapcsolódás	Az Objectif Lune Connect korábbi verziói a log4j modult használták, de az Objectif Lune Connect 2018.1 verziójának megjelenésével a modul eltávolításra került. Amíg az Objectif Lune Connect 2018.1 vagy újabb verziója fut, a biztonsági rés nem jelentkezik.
OptimiDoc • OptimiDoc	OptimiDoc | Log4j információ
Általános • Print In City	Nem érintett.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) - Hogyan érinti a PaperCut elemet? | PaperCut
Paper River • TotalCopy	Nem érintett.
Ringdale • FollowMe Embedded	Nem érintett.
Quadient • Inspire Suite	Quadient University Log4J információ meglévő ügyfelek számára
T5 Solutions • TG-PLOT/CAD-RIP	Nem érintett.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Westpole • Intelligens nyomtatásmenedzsment	Nem érintett.

Helyközi, parancsfájlt tartalmazó támadásra lehetőséget adó biztonsági rést azonosítottunk a kis irodák számára ideális Canon lézernyomtatók és multifunkciós eszközök Távoli felhasználói felület funkciójában – az érintett modelleket lásd alább (biztonsági rés azonosítószáma: JVN # 64806328).

A biztonsági rés kihasználásához a támadónak rendszergazda módban kell lennie. Bár nem jelentettek adatszivárgást, a biztonság növelése érdekében javasoljuk a legújabb firmware-telepítését. A frissítések a https://www.canon-europe.com/support/ címen találhatók.

Azt is javasoljuk, hogy állíts be privát IP-címet és olyan hálózati környezetet, amely biztosítja, hogy a kapcsolat olyan tűzfalon vagy Wi-Fi-routeren keresztül jön létre, amely korlátozhatja a hálózati hozzáférést. Az eszközök hálózathoz történő csatlakoztatása esetén szükséges biztonsági intézkedéseket lásd a https://www.canon-europe.com/support/product-security/ oldalon.

Érintett termékek:

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F

Az év elején fedezték fel a Microsoft Windows nyomtatásisor-kezelő biztonsági rését – amelyet azóta „PrintNightmare” néven ismerünk. A biztonsági rés lehetővé teszi a hackerek számára, hogy bizonyos körülmények között átvegyék a felhasználók Windows-rendszereinek irányítását.

Bár ez hatással lehet a Canon készülékek felhasználóira, a probléma a Microsoft szoftver hibájának következménye, nem pedig a Canon termékeivel vagy szoftvereivel kapcsolatos problémáé. A probléma konkrétan a nyomtatásvezérlő funkcióban van, amely minden egyes Windows Serverre és Windows asztali gépre telepítve van.

A Microsoft bejelentette, hogy a fenyegetéseket a Microsoft július 6-i biztonsági frissítésével elhárította, amely frissítés a Windows Update szolgáltatáson keresztül vagy a KB5004945 letöltésével és telepítésével érhető el. A Microsoft a frissítés azonnali alkalmazását javasolja az illetékes informatikai szakembereknek, hogy megelőzhetők legyenek a biztonsági rés miatt fellépő fenyegetések. A Microsoft ezzel kapcsolatos teljes körű tájékoztatása az alábbi oldalon olvasható: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

A frissítések Microsoft által javasolt telepítése mellett mi azt tanácsoljuk, hogy a rendszert azzal is tedd biztonságosabbá, hogy meggyőződsz róla, az alábbi rendszerleíró beállítások értéke 0 (zéró) vagy nincs megadva (megjegyzés: ezek az alapértelmezett regisztrációs kódok, ezért alapból a biztonságos beállítások vannak érvényben). Azt is ellenőrizd, hogy a Csoportházirend beállításai megfelelőek-e:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) vagy nincs meghatározva (alapértelmezett beállítás)
• UpdatePromptSettings = 0 (DWORD) vagy nincs meghatározva (alapértelmezett beállítás)

Ha a „NoWarningNoElevationOnInstall” rendszerleíró kulcs 1-es értékre van állítva, akkor csökken a rendszer biztonsági helyzete.

Azt javasoljuk, hogy az IT-csapat továbbra is kövesse nyomon a Microsoft támogatási webhelyét annak érdekében, hogy az operációs rendszer összes vonatkozó javítása alkalmazásra kerüljön.

A vizsgálatot követően megállapítottuk, hogy egyetlen imageRUNNER, imageRUNNER ADVANCE vagy i-SENSYS terméket sem érint ez a biztonsági rés. Tovább folytatjuk a vizsgálatot, hogy ellenőrizzük a Canon termékválasztékot, és ennek megfelelően frissítjük majd ezt a cikket, ha újabb információk lesznek elérhetők.

A Federal Office for Information Security (BSI) tudomásunkra hozta, hogy a microMIND-on belüli hálózati alkalmazás illetéktelenek számára több ponton is hozzáférhető. A biztonsági réseket a „Forescout Technologies” kutatói, Jos Wetzels, Stanislav Dashevskyi, Amine Amri és Daniel dos Santos fedezték fel.

A microMIND az uIP nyílt forráskódú hálózati stacken alapul – https://en.wikipedia.org/wiki/UIP_(micro_IP) –, amelyet több ezer más vállalat is használ hardvereik és szoftvereik hálózati összekötésére. A kutatók kimutatták, hogy a biztonsági rést kihasználva szolgáltatásmegtagadással járó támadás érheti az eszközöket, melyek így offline módba kerülnek, vagy magán a microMIND szolgáltatáson végezhetnek távoli kód végrehajtást. A biztonsági rés kezelése érdekében az NT-ware az összes problémát orvosoló, új készülékszoftvert adott ki. A jelen biztonsági értesítő írása idején nincs ismert microMIND biztonsági rés.

Biztonsági rés neve/hivatkozás: AMNESIA:33, https://www.forescout.com/amnesia33/

Ebben a készülékszoftverben kezelt CVE-azonosítók: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437

A microMIND szolgáltatásban implementált uIP stackhez nem kapcsolódó CVE-azonosítók: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335

Érintett uniFLOW microMIND készülékszoftver: 2.0.9 vagy régebbi verzió, vagy 2020. október előtt leszállított verzió.

Kárenyhítés/tennivaló: Ha az Ön microMIND szolgáltatása érintett, lépjen kapcsolatba a Canon képviselőjével a készülékszoftver frissítése érdekében.

Egy izraeli székhelyű kiberbiztonsági cég, a SCADAfence Ltd. felhívta a figyelmünket egy, az IP-protokoll használatához kötődő biztonsági résre a Canon lézernyomtatók és kisméretű multifunkciós irodai készülékek esetében. A részletekkel kapcsolatban itt tájékozódhat: CVE-2020-16849.

A készülék harmadik fél támadásának lehet kitéve, ha az egy olyan, nem biztonságos hálózathoz csatlakozik, amelyen keresztül a címjegyzék részei és/vagy a rendszergazda jelszava hozzáférhető. Megjegyzendő, hogy ha a távoli felhasználói felület kommunikációjához HTTPS-t használunk, az adatok titkosítottak.

Jelenleg nem rendelkezünk megerősített esettel a biztonsági rések károkozás céljából való kihasználását illetően. Azonban annak érdekében, hogy ügyfeleink továbbra is biztonságosan használhassák termékeinket, a következő modellekhez új szoftvert teszünk elérhetővé:

i-SENSYS MF Series
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW

i-SENSYS LBP Series
LBP113W
LBP151DW
LBP162DW

imageRUNNER sorozat
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF

A készülékszoftver frissítésének részleteiről a Felhasználói kézikönyvben olvashat.
Javasoljuk, hogy a termékekhez privát IP-címet használjon, illetve alkalmazzon olyan hálózati paramétervezérlőket, melyek korlátozzák a hálózati hozzáférést, például tűzfal vagy Wi-Fi router. További hasznos tanácsokat ezen az oldalon, a „Biztonság a hálózathoz csatlakoztatott termékek számára” című rész alatt talál.

A „Ripple20” biztonsági réseinek vizsgálata során nem találtak hibát a Canon nyomtatótermékekben.

Bár a Canon vezeték nélküli funkció jelszava megfelel a jelenlegi WPA-szabványnak, tisztában vagyunk azzal, hogy a nyolc karakteres, számokból álló jelszavak már nem olyan biztonságosak, mint korábban voltak. Ezt szem előtt tartva azt javasoljuk, hogy olyan környezetben, ahol a vezeték nélküli biztonság problémát jelenthet (például nyilvános helyen), a Canon berendezéseket mindig a létesítmény Wi-Fi-jén keresztül csatlakoztassa. Komolyan vesszük a biztonságot – frissítjük a biztonsági Wi-Fi-beállításokat termékeinken a biztonságos használat fenntartása érdekében, és minden frissítést közzéteszünk ezeken az oldalakon. A Canon megköszöni REDTEAM.PL csapatának, hogy felhívta figyelmünket a jelszóbiztonsággal kapcsolatos változásokra, illetve ennek a piacra gyakorolt hatásaira.

Az imageRUNNER ADVANCE szoftverplatform 3.8 és újabb verzióiban bevezetésre került a szinte valós idejű eseményértesítési funkciót nyújtó (az RFC 5424, RFC 5425 és RFC 5426 szabványoknak megfelelő) syslog-protokoll, amely átláthatóbbá teszi a használt eszköznaplózási megoldás eszközre és az eszköz biztonsági eseményeire vonatkozó információit. A fejlesztés arra az eszköznaplózási képességre épül, amely lehetővé teszi a csatlakozást egy meglévő, a biztonsági információkat és eseményeket kezelő (SIEM) vagy syslog-kiszolgálóhoz. Az alábbi „SIEM_spec” dokumentumban tekintheti meg a létrehozható üzenettípusok és naplóadatok részleteit.

Tizenegy biztonsági rés, „URGENT/11” néven (a CVE-2019-12255 azonosítótól a CVE-2019-12265 azonosítóig) került azonosításra a VxWork operációs rendszeren belül. Kiderült, hogy a VxWorks operációs rendszerben használt IPnet TCP/IP protokollkészlet más valós idejű operációs rendszerekben is használatban van, ami megnyitja a számos termék esetében létező biztonsági rések lehetőségét (CVE-2019-12255, CVE-2019-12262 és CVE-2019-12264).

Számos régebbi európai modellt érinthet ez a probléma, amelyeknél az érintett IPnet TCP/IP protokollkészlet használatát állapították meg:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Köszönjük, hogy Canon terméket használ.

Egy nemzetközi biztonságkutató csapat hívta fel a figyelmünket egy, a Canon digitális fényképezőgépeivel használt Picture Transfer Protocol (PTP) protokollon keresztüli kapcsolódást érintő biztonsági résre, valamint egy, a készülékszoftver-frissítéseket érintő biztonsági résre.

(CVE-azonosító: CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)

A biztonsági rések következtében a fényképezőgép harmadik fél támadásának lehet kitéve, ha a készülék olyan számítógéphez vagy mobileszközhöz csatlakozik, amellyel nem biztonságos hálózaton keresztül élnek vissza.

Jelenleg nem rendelkezünk megerősített esettel a biztonsági rések károkozás céljából való kihasználását illetően. Azonban annak érdekében, hogy vásárlóink biztonságosan használhassák termékeinket, felhívnánk a figyelmet a következő lehetséges megoldásokra.

• Győződjön meg arról, hogy a fényképezőgéphez csatlakoztatott eszközök (például számítógép, mobileszköz és útválasztó) megfelelő biztonsági beállításokkal rendelkeznek.
• Ne csatlakoztassa a fényképezőgépet olyan számítógéphez vagy mobileszközhöz, melyet nem biztonságos hálózaton, például ingyenes Wi-Fi-környezetben használnak.
• Ne csatlakoztassa a fényképezőgépet olyan számítógéphez vagy mobileszközhöz, amely potenciálisan ki lehet téve vírusfertőzéseknek.
• Tiltsa le a fényképezőgép hálózati funkcióit, ha azokat nem használja.
• A fényképezőgép készülékszoftverének frissítéséhez töltse le a hivatalos készülékszoftvert a Canon oldaláról.

Egyre gyakoribb a számítógépek és mobileszközök nem biztonságos (ingyenes Wi-Fi) hálózati környezetben történő használata, a vásárlók pedig nincsenek tisztában a hálózati biztonsággal. Szintén egyre elterjedtebb a Wi-Fi csatlakozáson keresztüli, fényképezőgépről mobileszközre történő képátvitel. Ezért készülékszoftver-frissítéseket eszközölünk a következő, Wi-Fi funkcióval rendelkező típusokon.

A biztonsági rések a következő EOS-sorozatú digitális SLR- és tükör nélküli fényképezőgépeket érintik:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1D X*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1D X MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 Wi-Fi-adapter vagy vezeték nélküli adó használata esetén létrejöhet vezeték nélküli kapcsolat.

^*2 Ezek a biztonsági rések az Ethernet-kapcsolatokra is hatással lehetnek.

Ugyanakkor minden termék készülékszoftverének frissítéséről tájékoztatást adunk azoktól a termékektől kezdve, amelyek esetében az előkészületeket már elvégeztük.

Kövesse az utasításokat a gyorsjavítás telepítése érdekében 

Elkötelezettek vagyunk amellett, hogy biztonságos megoldásokat biztosítsunk ügyfeleink számára, és elnézést kérünk az esetlegesen okozott kellemetlenségekért. A jelen értesítéssel kapcsolatos további információkért kérjük, vegye fel a kapcsolatot a helyi Canon képviselettel, egy jogosult viszonteladóval vagy egy Canon ügyfélszolgálati képviselővel. Amennyiben gyanús tevékenységet észlel, kérjük, azonnal jelezze ügyfélkapcsolati menedzserének és az IT-részlegnek.

Nemrégiben bizonyos termékek faxfunkcióinak kommunikációs protokolljai esetében a kutatók biztonsági résekről számoltak be. (CVE-ID: CVE-2018-5924, CVE 2018-5925). A biztonsági rések faxfunkcióval rendelkező Canon termékekre való hatásával kapcsolatos további információkat alább tekintheti meg:

Felülvizsgálataink alapján, mivel ezek a biztonsági rések által kihasznált színes G3 Faxprotokollt nem alkalmazzák, a következő termékek nem érintettek: imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP és imageCLASS/i-SENSYS sorozatú, faxfunkcióval rendelkező modellek.

A faxfunkcióval rendelkező MAXIFY és PIXMA sorozatú termékek alkalmazzák a színes G3 Faxprotokollt. Viszont nem azonosítottunk az ezeken az eszközökön tárolt információk biztonságát veszélyeztető kockázatot, vagy olyan kockázatot, hogy valamely rosszindulatú kódot a faxhálózaton keresztül hajtanának végre.

Továbbra is figyelemmel követjük a helyzetet, és megtesszük az eszközök védelmének biztosításához szükséges lépéseket.

Nemrégiben nyilvánosságra kerültek azokat az Intel, AMD és ARM CPU-kat érintő biztonsági rések, amelyek teljesítményük javítása érdekében a spekulatív végrehajtás megoldást alkalmazzák. A biztonsági rések lehetővé teszik a támadók számára az engedély nélküli hozzáférést a privát gyorsítótár-memória területeihez.

Kétfajta biztonsági rést azonosítottak és neveztek meg, amelyek különböző módokon tudják kiaknázni az érintett CPU-kban található spekulatív végrehajtás funkciókat. Ezek a CVE-2017-5715, CVE-2017-5753: „Spectre” és a CVE-2017-5754: „Meltdown”.

Az alábbi Canon külső vezérlők lehet, hogy érintettek a biztonsági rés által. Noha jelenleg nem tudunk arról, hogy ezeket a biztonsági réseket ki lehetne aknázni, dolgozunk a hibát kiküszöbölő javításokon, hogy vásárlóink továbbra is aggodalom nélkül használhassák termékeinket.

ColorPASS: 
GX300 2.0 verzió, GX300 2.1 verzió, GX400 1.0 verzió, GX500 1.1 verzió

imagePASS: 
U1 1.1 verzió, U1 1.1.1 verzió, U2 1.0 verzió 
Y1 1.0 verzió, Y2 1.0 verzió

imagePRESS-CR kiszolgáló: 
A7000 2.1 verzió, A7000 3.0 verzió, A7300 1.0 verzió, A7500 2.1 verzió, A8000 1.1 verzió

imagePRESS kiszolgáló: 
A1200 1.0 verzió, A1200 1.1 verzió, A1300 1.0 verzió, A2200 1.0 verzió, A2200 1.1 verzió, A2300 1.0 verzió, A3200 1.0 verzió, A3200 1.1 verzió, A3300 1.0 verzió 
B4000 1.0 verzió, B4100 1.0 verzió, B5000 1.0 verzió, B5100 1.0 verzió 
F200 1.21 verzió, H300 1.0 verzió 
J100 1.21 verzió, J200 1.21 verzió 
K100 1.0 verzió, K200 1.0 verzió 
Q2 2.0 verzió, Z1 1.0 verzió

Az alábbi Canon szolgáltatások lehet, hogy érintettek a biztonsági rés által. Noha jelenleg nem tudunk arról, hogy ezeket a biztonsági réseket ki lehetne aknázni, 2018. február végére elkészültünk a hibát kiküszöbölő javításokkal.

MDS Cloud

Nem ismerünk olyan módot, amely lehetővé tenné a Canon multifunkciós lézernyomtatók és a Canon lézernyomtatók, illetve a hozzájuk kapcsolódó szoftverek (a fentebb említett termékek kivételével) esetében a biztonsági rések kihasználását. A termékek továbbra is megbízhatóan működnek.

A Canon folyamatosan azon dolgozik, hogy a legmagasabb szintű biztonságot biztosítsa minden terméke és megoldása esetében. Komolyan vesszük az információbiztonságot, és ügyfeleink információinak védelme kiemelkedően fontos számunkra.

Nemrég egy kutató nyilvánosságra hozott egy a normál vezeték nélküli LAN (Wi-Fi) WPA2 titkosítási protokollban található, KRACK nevű biztonsági rést. Ez a biztonsági rés lehetővé teszi a támadónak, hogy szándékosan lehallgassa a vezeték nélküli átvitelt a kliens (Wi-Fi-funkcióval rendelkező terminál) és a hozzáférési pont (az útválasztó stb.) között, hogy potenciálisan rosszindulatú tevékenységet hajtson végre. Pontosan ezért ezt a biztonsági rést nem használhatja ki senki a Wi-Fi-jel hatókörén kívül, illetve senki, aki egy távoli helyszínen használja az internetet közvetítőként. 

Még ellenőriznünk kell, hogy ezen biztonsági rés következtében felmerült-e bármilyen probléma a Canon termékek használóinak körében, azonban annak érdekében, hogy az ügyfeleink nyugodtan tovább használhassák a termékeinket, a következő megelőző intézkedéseket javasoljuk: 
• A kompatibilis eszközöket közvetlenül csatlakoztassa a hálózathoz egy USB-kábel vagy egy Ethernet-kábel segítségével 
• Titkosítsa az olyan eszközökről történő adatátvitelt, amelyek engedélyezik a titkosítási beállításokat (TLS/IPSec) 
• Használjon fizikai hordozókat (pl. SD-kártyákat) kompatibilis eszközökkel 
• Kompatibilis eszközökkel való kapcsolódás esetén használjon olyan beállításokat, mint a közvetlen vezeték nélküli mód vagy a közvetlen kapcsolódási mód

Mivel a működési eljárások és funkciók eszközökként eltérnek, további információkért olvassa el az eszközhöz tartozó kézikönyvet. Javasoljuk, hogy tegye meg a megfelelő intézkedéseket az olyan eszközök, mint a számítógép és az okostelefon esetében is. Kérjük, a megfelelő intézkedésekkel kapcsolatos tájékoztatásért lépjen kapcsolatba az adott eszköz gyártójával.

Ismerjük azokat a University Alliance Ruhr kutatásáról beszámoló újságcikkeket, melyek a hálózati nyomtatók az iparágban széles körben használt PostScript programnyelvvel kapcsolatos sebezhetőségéről szólnak. A kutatás során nem vizsgáltak Canon készülékeket.

A Canon folyamatosan dolgozik azon, hogy minden termék és megoldás számára, beleértve a hálózati nyomtatókat, a lehető legnagyobb védelmet biztosítsa. Komolyan vesszük az információbiztonságot, és ügyfeleink információinak védelme kiemelkedően fontos számunkra. A Multifunkciós készülékek biztonsági útmutatója ismerteti Önnel a biztonságos megvalósítással kapcsolatos leghatékonyabb konfigurációs beállításokat, és ezekre vonatkozóan tanácsokkal is ellátja Önt.

Az adott Canon termékekre vonatkozó biztonsági intézkedésekkel kapcsolatos tudnivalók és azok beállítási eljárásai alább olvashatók. Megjegyzés: az információk csak angol nyelven érhetők el.

Tintasugaras nyomtatók (PIXMA sorozat) és üzleti célú tintasugaras nyomtatók (MAXIFY sorozat)	Nagy formátumú tintasugaras nyomtató (imagePROGRAF sorozat)	Lézersugaras nyomtatók és kis irodai multifunkciós készülékek (LBP és MF sorozat)	MFP-készülékek irodai és gyári nyomtatáshoz (imageRUNNER, imageRUNNER ADVANCE, imagePRESS sorozat)
Hálózati kamerák	Multifunkciós készülékek biztonsági útmutatója	Hálózati lapolvasók (imageFORMULA sorozat)	Canon imageRUNNER biztonsági mátrix
Canon eszközbiztonsági áttekintő	imageRUNNER ADVANCE és imageRUNNER ADVANCE DX biztonsági tanulmány	SIEM_spec (imageRUNNER ADVANCE)	ColorWave és PlotWave SMARTshield biztonsági tanulmány

A Canon a középpontba az információbiztonságot helyezi, amely az írott, szóbeli és elektronikus adatok bizalmas jellegének, integritásának és rendelkezésre állásának megóvásával biztosítja mindig a következőket:

• Bizalmas jelleg – az adatokat csak a hozzáféréssel rendelkezők számára teszi elérhetővé.
• Integritás – megóvja az adatok és a feldolgozási módok pontosságát és teljességét.
• Rendelkezésre állás – biztosítja, hogy a jogosultsággal rendelkező felhasználók szükség esetén bármikor hozzáférhessenek az adatokhoz.

Az ISO 27001 tanúsítvány jól mutatja, hogy a Canon Europe olyan rendszerekkel rendelkezik, amelyekkel az online vagy offline vállalati információkat és adatokat egyaránt megóvhatja. Az ISO 27001 betartásával a Canon Europe kijelentheti, hogy biztonsági folyamatai a fejlesztéstől kezdve a kiszállításig külső értékelésen mentek keresztül, és hogy külső fél tanúsítása által váltak nemzetközileg elismert szabvánnyá.

	A Canon Europe adatbiztonsági rendszere elnyerte az ISO 27001 tanúsítványt, amely azt jelzi a vásárlók felé, hogy ragaszkodunk a világszínvonalú minőséghez. A szabvány az adatbiztonság számos területét lefedi, a kockázat- és auditkezeléstől a termékbiztonságig.

Információbiztonsági irányítási rendszerünk (ISMS) a következő területekre terjed ki:

• biztonságpolitika
• az információbiztonság szervezése
• eszközkezelés
• emberi erőforrások biztonsága
• fizikai és környezetbiztonság
• kommunikáció kezelése és operatív irányítás
• hozzáférés-vezérlés
• információs rendszerek vásárlása, fejlesztése és karbantartása
• információbiztonsági incidensek kezelése
• üzletmenet-folytonosság menedzsment
• jogszabályi megfelelés

A Canon EMEA PSIRT (Product Security Incident Response Team, termékbiztonsági incidensekért felelős csapat) a Canon globális PSIRT szervezetének része, és a Canon EMEA termékeihez, rendszereihez és szolgáltatásaihoz kapcsolódó biztonsági rések elhárításáért felelős. Az iparág bevált gyakorlatait követve javítjuk a termékbiztonsági szinteket, és rendkívül biztonságos termékeket kínálunk ügyfeleinknek.

A Canon EMEA PSIRT szívesen fogadja a termék feltételezett biztonsági réseivel kapcsolatos információkat, és ezeket az információkat a biztonsági réssel kapcsolatos közzétételi szabályzatunknak megfelelően kezeljük.

Ha úgy véli, hogy biztonsági problémát fedezett fel egy Canon termékkel kapcsolatban, vagy biztonsági incidenst szeretne bejelenteni, vegye fel a kapcsolatot a Canon EMEA termékbiztonsági incidensekért felelős csapatával a product-security@canon-europe.com e-mail-címen vagy a termék biztonsági résének jelentésére szolgáló űrlapon keresztül. Részletesen foglalja össze a biztonsági problémát, adja meg a termék pontos nevét, szoftververzióját és a probléma természetét. Adja meg e-mail címét és telefonszámát is, hogy amennyiben további információra van szükségünk, felvehessük Önnel a kapcsolatot.

Ne feledje, hogy ez az e-mail-cím és űrlap kizárólag a termékek biztonsági réseinek és más biztonsági problémáinak jelentésére szolgál, nem pedig általános támogatási kérdések megválaszolására. Bármilyen más termékproblémával kapcsolatos segítségért látogasson el támogatási oldalainkra.

A Canon EMEA információbiztonsági csapata elkötelezett a Canon ügyfeleinek és alkalmazottainak védelme mellett. Ezen elkötelezettség részeként biztonsági kutatókat hívunk meg, hogy a biztonsági rések és hiányosságok proaktív bejelentésével segítsék a Canon védelmét. A részletes észrevételeket az appsec@canon-europe.com oldalon várjuk

Érintett tartományok

Ez a lista tartalmazza a Canon biztonsági réssel kapcsolatos közzétételi szabályzatának részét képező tartományokat.

*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

A hiányosságokat e-mailben is bejelentheted nekünk: appsec@canon-europe.com. Kérjük, adja meg a tömören, de a lehető legegyértelműbben és legrészletesebben e-mailben, hogy milyen hiányosságo(ka)t talált, és adjon meg minden lehetséges bizonyítékot, szem előtt tartva, hogy az üzenetet a Canon biztonsági szakemberei fogják áttekinteni. Az e-mail különösen a következőket tartalmazza:

• A biztonsági rés típusa
• A biztonsági rés reprodukálásának lépésről lépésre történő leírása
• Az alkalmazott megközelítés
• A teljes URL
• Az esetlegesen érintett objektumok (mint a szűrők vagy beviteli mezők)
• A képernyőképeket nagyra értékeljük
• Adja meg az IP-címét a hiányosságról szóló jelentésben. Ezt bizalmasan kezeljük az Ön tesztelési tevékenységének nyomon követése és a naplók általunk történő áttekintése során

Nem fogadjuk el automatizált szoftverszkennerek eredményét.

Mit nem fogadunk el:

• Volumetrikus/szolgáltatásmegtagadási sebezhetőségek (azaz egyszerűen túlterhelik a szolgáltatásunkat nagy mennyiségű kéréssel)
• TLS konfigurációs hiányosságok (pl. „gyenge” titkosítócsomag-támogatás, TLS1.0 támogatás, sweet32 stb.)
• A myid.canon-hez kapcsolódó felhasználói fiókok létrehozásához használt e-mail-címek ellenőrzésével kapcsolatos problémák
• „Ön” XSS
• Vegyes tartalmú szkriptek a www.canon.* weboldalon
• Nem biztonságos cookie-k a www.canon.* weboldalon
• CSRF- és CRLF-támadások, ahol a hatás minimális
• XSS HTTP-állomásfejléc működő megvalósíthatósági példa nélkül
• Hiányos/hiányzó SPF/DMARC/DKIM
• Pszichológiai manipuláción alapuló támadások
• Biztonsági hibák harmadik feleknek a Canonnal integrált webhelyein
• Hálózati adatok számbavételi technikái (pl. banner grabbing, nyilvánosan elérhető szerverdiagnosztikai oldalak létezése)
• Jelentések, amelyek azt mutatják, hogy szolgáltatásaink nem illeszkednek teljes mértékben a „legjobb gyakorlathoz”

A Canon információbiztonsági szakértői megvizsgálják a jelentést, és 5 munkanapon belül felveszik Önnel a kapcsolatot. 

Az Ön személyes adatai

Személyes adatait kizárólag arra használjuk fel, hogy az Ön jelentése alapján intézkedéseket tegyünk. Az Ön kifejezett engedélye nélkül nem osztjuk meg személyes adatait másokkal.

Potenciálisan illegális tevékenységek

Ha hiányosságot fedez fel és azt vizsgálja, előfordulhat, hogy ezáltal olyan tevékenységet végez, ami büntethető. Ha betartja az alábbi szabályokat és elveket IT-rendszereink hiányosságainak jelentésére vonatkozóan, nem jelentjük be a jogsértést a hatóságoknak, és nem nyújtunk be kárigényt.

Fontos azonban tudni, hogy az ügyészség – nem a CANON – dönthet arról, hogy vádat emelnek-e még akkor is, ha mi nem jelentettük be a jogsértést a hatóságoknak. Ez azt jelenti, hogy nem tudjuk garantálni, hogy Önt nem fogják felelősségre vonni, ha egy hiányosság kivizsgálásakor büntetendő cselekményt követ el.

A Biztonsági és Igazságügyi Minisztérium Nemzeti Kiberbiztonsági Központja iránymutatásokat hozott létre az IT-rendszerek hiányosságainak jelentésére. Szabályaink ezen irányelveken alapulnak. (https://english.ncsc.nl/)

Általános alapelvek

Vállaljon felelősséget, és cselekedjen különös gondossággal és körültekintéssel. Az ügy kivizsgálásakor csak olyan módszereket vagy technikákat alkalmazzon, amelyek a hiányosságok megtalálásához vagy bizonyításához szükségesek.

• Ne használja fel az Ön által felfedett hiányosságokat a saját specifikus vizsgálatának céljain kívül semmilyen más célra.
• Ne alkalmazzon pszichológiai manipulációt a rendszerhez való hozzáféréshez.
• Ne telepítsen semmilyen hátsó ajtót – még a rendszer sebezhetőségének demonstrálására sem. A hátsó ajtók gyengítik a rendszer biztonságát.
• Ne módosítsa vagy törölje a rendszerben lévő adatokat. Ha a vizsgálathoz adatokat kell másolnia, soha ne másoljon többet, mint amennyire szüksége van. Ha egy rekord elégséges a bizonyításhoz, ne hozzon létre többet.
• Semmilyen módon ne változtassa meg a rendszert.
• Csak akkor hatoljon be egy rendszerbe, ha feltétlenül szükséges. Ha sikerül behatolnia egy rendszerbe, ne ossza meg a hozzáférést másokkal.
• A rendszerekhez való hozzáféréshez ne használjon találgatásos támadási technikákat, például jelszavak többszöri megadását.
• A hozzáférés érdekében ne használjon szolgáltatásmegtagadást (DoS) okozó támadásokat

Kapok juttatást a vizsgálatomért?

Nem, Ön nem jogosult semmilyen kompenzációra.

Szabad-e nyilvánosságra hoznom az általam talált gyenge pontokat és a vizsgálatomat?

Soha ne hozd nyilvánosságra a Canon informatikai rendszereinek gyenge pontjait vagy a vizsgálatát anélkül, hogy előzetesen ne konzultálnál velünk az appsec@canon-europe.com e-mail-címen. Együtt megakadályozhatjuk, hogy a bűnözők visszaéljenek az Ön adataival. Egyeztessen az információbiztonsági csapatunkkal, hogy közösen határozzunk a nyilvánosságra hozatal mikéntjén.

Névtelenül is jelenthetek hiányosságot?

Igen. Hiányosságról szóló jelentés esetén nem kell megemlítenie a nevét és elérhetőségét. Kérjük, vegye figyelembe, hogy nem tudunk majd egyeztetni Önnel az utánkövetési intézkedésekről, például arról, hogy mit teszünk a jelentésével vagy a további együttműködéssel kapcsolatban.

Mire nem használhatom ezt az e-mail-címet?

Az appsec@canon-europe.com e-mail-cím nem a következő célokra szolgál:

• A Canon termékekkel vagy szolgáltatásokkal kapcsolatos panaszok benyújtása
• A Canon webhelyek elérhetőségével kapcsolatos kérdések vagy panaszok beküldése
• Csalás vagy csalás gyanújának bejelentése
• Hamis e-mailek vagy adathalász e-mailek jelentése
• Vírusok jelentése