Безпека продукції
На цій сторінці ви знайдете важливі оновлення щодо безпеки продукції Canon.
Новини
-
У програмному забезпеченні uniFLOW Universal Login Manager (ULM) Standalone виявлено вразливість (CVE-2026-1433), що створює ризик несанкціонованого доступу автентифікованого адміністратора до конфіденційної інформації про конфігурацію через інтерфейс віддаленого користувача ULM (RUI). Для використання цієї вразливості необхідні права адміністратора, і вона може призвести до витоку даних налаштування інтеграцій SMTP або LDAP. Системи, підключені до uniFLOW Server або uniFLOW Online, не зазнали впливу.
Компанія Canon разом із NT-ware серйозно ставляться до вразливостей безпеки та рекомендують клієнтам, які використовують версії uniFLOW ULM Standalone, що зазнали впливу, встановити доступне оновлення. Для забезпечення безпеки середовищ uniFLOW ULM Standalone необхідно виконати оновлення всіх систем, які зазнали впливу.
Хоча ми не отримували повідомлень про активне використання цієї вразливості зловмисниками, ми наполегливо рекомендуємо ознайомитися з бюлетенем безпеки та якнайшвидше впровадити рекомендовані заходи захисту.
Детальну інформацію щодо цієї вразливості, версій, які зазнали впливу, а також рекомендованих кроків із мінімізації ризиків та усунення проблеми можна знайти за посиланням:
Бюлетень безпеки: потенційне розкриття інформації в ULM
Компанія Canon висловлює вдячність дослідникам за виявлення цієї вразливості:
- CVE-2026-1433: Сем Шепард (Sam Shepherd), який співпрацює з BAE Systems
-
У ядрі Linux від SUSE виявлено вразливість (CVE-2026-31431), яка може дозволити локальному користувачу без прав суперкористувача (root) отримати повні привілеї суперкористувача в ураженій системі.
Компанія Canon Production Printing (CPP) серйозно ставиться до вразливостей безпеки та підтвердила, що PRISMAproduction працює на версії ядра Linux, яка зазнала впливу цієї проблеми. Для забезпечення безпеки середовищ PRISMAproduction необхідно виконати оновлення всіх вразливих систем.
Хоча ми не отримували повідомлень про активне використання цієї вразливості зловмисниками, ми наполегливо рекомендуємо ознайомитися з бюлетенем безпеки та якнайшвидше впровадити рекомендовані заходи захисту.
Детальну інформацію щодо цієї вразливості, версій, які зазнали впливу, а також рекомендованих кроків із мінімізації ризиків та усунення проблеми можна знайти за посиланням:
https://cpp.canon/suse-linux-copy-fail-vulnerability-cve-2026-31431/
-
У ядрі Linux від SUSE ідентифіковано вразливість (CVE-2026-43284), що потенційно дозволяє локальному користувачу без прав адміністратора підвищити свої привілеї в системі за наявності відповідних умов.
Компанія Canon Production Printing (CPP) серйозно ставиться до вразливостей безпеки та підтвердила, що PRISMAproduction працює на версії ядра Linux, яка зазнала впливу цієї проблеми. Для усунення цієї вразливості та забезпечення подальшої безпеки PRISMAproduction необхідно виконати оновлення операційної системи.
Хоча ми не отримували повідомлень про активне використання цієї вразливості зловмисниками, ми наполегливо рекомендуємо ознайомитися з бюлетенем безпеки та якнайшвидше впровадити рекомендовані заходи захисту.
Детальну інформацію щодо цієї вразливості, версій, які зазнали впливу, а також рекомендованих кроків із мінімізації ризиків та усунення проблеми можна знайти за посиланням:
https://cpp.canon/suse-local-privilege-escalation-dirty-frag-cve-2026-43284/ -
В службовій програмі EOS Network Setting Tool, що є частиною інсталятора EOS Utility, було виявлено численні вразливості. У разі експлуатації цих вразливостей третя сторона може отримати інформацію для автентифікації, яка використовується у функції тестування зв’язку FTP/FTPS/SFTP.
Повідомлень про використання цих уразливостей не надходило. Проте, задля підвищення безпеки продукту, ми рекомендуємо нашим клієнтам установити найновішу версію EOS Network Setting Tool, що є частиною EOS Utility та доступна для перелічених нижче моделей, на які поширюється проблема.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо ці вразливості будуть виявлені в інших продуктах, ми оновимо цю статтю.
Зверніть увагу, що програмним забезпеченням, на яке поширюється проблема, є програмне забезпечення EOS Network Setting Tool версії 1.5.0 або старішої (для Windows та macOS), що є частиною EOS Utility версій від 3.12.0 до 3.20.20 (включно).
Службова програма EOS Utility, яка включає версію EOS Network Setting Tool із виправленням цих проблем, доступна на сайтах підтримки. Ми рекомендуємо нашим клієнтам установити найновішу версію EOS Utility та переконатися, що встановлено таку версію програмного забезпечення: EOS Network Setting Tool версії 1.5.1 або новішої (для Windows та macOS), яка є частиною EOS Utility версії 3.20.21 або новішої.
CVE/CVSS
CVE-2026-9258. Неналежна перевірка хост-ключів SSH в EOS Network Setting Tool. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N (базова оцінка: 7,1).
CVE-2026-9259. Неналежна перевірка сертифікатів сервера в EOS Network Setting Tool. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N (базова оцінка: 7,1).
CVE-2026-9260. Використання жорстко закодованих криптографічних ключів в EOS Network Setting Tool. CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N (базова оцінка: 6,9).
CVE-2026-9261. Використання слабких криптографічних алгоритмів SSH в EOS Network Setting Tool. CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N (базова оцінка: 7,6).
CVE-2026-9262. Використання незахищеного протоколу як конфігурації FTP за замовчуванням в EOS Network Setting Tool. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N (базова оцінка: 7,1).
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2026-9258, CVE-2026-9259, CVE-2026-9260, CVE-2026-9261 та CVE-2026-9262: Раян Гаускнехт (Ryan Hausknecht) (@haus3c)
-
В інсталяторах програмного забезпечення My Image Garden для macOS та драйвера принтера CUPS для macOS виявлено вразливість, пов’язану з неналежною перевіркою символьних посилань. У разі експлуатації цієї вразливості під час інсталяції ураженого програмного забезпечення третя сторона з локальним доступом і правами входу на комп’ютер може використати спеціально створене символьне посилання для зміни прав доступу до файлів або каталогів, на роботу з якими вона зазвичай не має повноважень.
Повідомлень про використання цих уразливостей не надходило. Для посилення захисту пристрою ми рекомендуємо нашим клієнтам установити останню доступну версію для наведених нижче моделей, яких це стосується.
Оновлення програмного забезпечення, що усувають цю вразливість у відповідних пристроях, доступні для завантаження на наших вебсайтах. Перевірте моделі, яких це стосується, і відвідайте розділ підтримки для отримання інформації про прошивку, програмне забезпечення та підтримку продуктів.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлено в іншій продукції, ми оновимо цю статтю.
CVE/CVSS
CVE-2026-6891. Неналежне оброблення символьних посилань в інсталяторі My Image Garden для macOS. CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N (базова оцінка: 5,1).
CVE-2026-6892. Неналежне оброблення символьних посилань в інсталяторі драйвера принтера CUPS для macOS. CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N (базова оцінка: 5,1).
Компанія Canon висловлює вдячність дослідникам за виявлення цієї вразливості:
- CVE-2026-6891 та CVE-2026-6892: Цзе Вань (Jie Wan)
Історія оновлень
28 травня 2026 р.: створено.
-
У певних моделях високопродуктивних принтерів, а також багатофункціональних принтерах для офісів / малих офісів виявлено вразливість. Ця вразливість може дозволити стороннім особам із правами адміністратора отримати доступ до конфіденційної інформації, що зберігається на пристрої, шляхом надсилання спеціально сформованих запитів через функцію віддаленого керування в браузері.
Повідомлень про використання цих уразливостей не надходило. Але для того щоб підвищити безпечність продукту, ми радимо нашим клієнтам встановити найновішу версію прошивки, доступну для зазначених нижче моделей продукції, що зазнали впливу вразливостей.
Оскільки безпека інфраструктури друку наших клієнтів має критичне значення, ми радимо дотримуватися наведених нижче рекомендацій:
- Не підключайте пристрої напряму до загальнодоступних інтернет-мереж. Натомість під час підключення до Інтернету використовуйте приватну IP-адресу в середовищі, де доступ до Інтернету можливий із захищеної приватної мережі, створеної за допомогою брандмауерів, дротових маршрутизаторів або маршрутизаторів Wi-Fi.
- Змініть пароль, встановлений за замовчуванням, на новий.
- Налаштуйте ідентифікатори та паролі адміністратора та звичайних користувачів.
- Переконайтеся, що паролі та інші подібні налаштування для різних функцій досить складно вгадати.
- Якщо пристрій має функції одно- або багатофакторної автентифікації, використовуйте їх для підтвердження особи кінцевого користувача, який використовує пристрій.
- Враховуйте вимоги фізичної безпеки, зокрема ті, що пов’язані з розташуванням пристрою, тощо.
Перегляньте тут, щоб отримати додаткові відомості про безпеку в разі підключення пристроїв до мережі.
На додаток до зазначених вище заходів, прошивка, розроблена для вирішення цих проблем для певних пристроїв, буде або надана шляхом автоматичного оновлення, або розміщена на наших вебсайтах. Перевірте моделі, яких це стосується, і відвідайте розділ підтримки для отримання інформації про прошивку, програмне забезпечення та підтримку продуктів.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлено в іншій продукції, ми оновимо цю статтю.
CVE/CVSS
CVE-2026-1789: вразливість у вебінтерфейсі віддаленого керування може дозволити адміністратору отримати доступ до конфіденційної інформації на пристрої за допомогою спеціально сформованих запитів. Ця проблема стосується певних моделей високопродуктивних принтерів, а також багатофункціональних принтерів для офісів / малих офісів. CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N (базова оцінка: 6,9).
Компанія Canon висловлює вдячність дослідникам за виявлення цієї вразливості:
- CVE-2026-1789: Хенжуй Ван (Hengrui Wang) і Ранганатха Рао Срідхар (Ranganatha Rao Sridhar), які працюють із компанією Praetorian
Історія оновлень
29 червня 2026 р.: оновлено список моделей, які зазнали впливу вразливостей.
23 квітня 2026 р.: створено.
-
Опис.
В OpenSSL виявлено вразливість, за якої зловмисник може надати повідомлення у форматі CMS (Cryptographic Message Syntax) із вектором ініціалізації (IV) надмірного розміру. OpenSSL копіює цей вектор ініціалізації (IV) у буфер стека фіксованого розміру без перевірки його довжини, що призводить до переповнення буфера стека. Ця вразливість впливає на те, як OpenSSL аналізує структури CMS AuthEnvelopedData та EnvelopedData, що використовують шифри автентифікованого шифрування з додатковими даними (AEAD), як-от AES-GCM.
Потенційні наслідки цієї вразливості включають таке:
- Відмова в обслуговуванні (DoS) через збої в роботі програми
- Можливість віддаленого виконання коду, залежно від засобів захисту платформи
- Зловмиснику не потрібні дійсні ключі, оскільки переповнення буфера стека відбувається до етапу автентифікації
В IRIS серйозно поставилася до цієї вразливості та підтвердили, що один із їхніх продуктів використовує OpenSSL. Продукт, на який поширюється ця проблема, — IRIS XMailFetcher.
Версії, на які поширюється проблема.
IRIS XMailFetcher: версії 5.0.29 та раніші.
Запобігання наслідкам / усунення наслідків.
Компанія IRIS випустила IRIS XMailFetcher версії 5.0.30 — оновлення безпеки, яке усуває цю вразливість (CVE-2025-15467).
Цей випуск не містить жодних додаткових змін чи нових функцій і зосереджений виключно на вирішенні цієї проблеми.
Ми наполегливо рекомендуємо якнайшвидше оновитися до версії 5.0.30. Якщо вам потрібна допомога з оновленням, зверніться до нашої служби підтримки.
Виправлення доступне в розділі Download Center (Центр завантажень), а саме повідомлення можна знайти в розділі Technical News (Технічні новини) на партнерському порталі IRIS під заголовком: IRIS XMailFetcher 5.0.30 – CVE-2025-15467 Fix (IRIS XMailFetcher 5.0.30 — виправлення CVE-2025-15467).
Зверніть увагу, що компанія IRIS вирішила цю проблему, випустивши виправлення 19 лютого 2026 р.
Повідомлень про використання цієї вразливості на практиці не надходило. Однак для підвищення безпеки продукту ми радимо всім клієнтам установити останню версію IRIS XMailFetcher 5.0.30.
CVE/CVSS.
CVE-2025-15467: вразливість типу «переповнення буфера стека» в OpenSSL, що впливає на аналіз повідомлень CMS AuthEnvelopedData та EnvelopedData. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
-
У службовій програмі IJ Scan Utility для Windows виявлено вразливість. Ця вразливість виникає через те, що шлях до виконуваного файлу служби Windows не взято в лапки. Якщо шлях до файлу містить пробіли, локальний зловмисник може скористатися цією умовою, використовуючи шлях із пробілами, що потенційно дозволяє запустити шкідливий файл із привілеями ураженої служби.
Повідомлень про використання цих уразливостей не надходило. Проте, задля підвищення безпеки продукту, ми радимо нашим клієнтам установити останню версію драйвера MP, доступну для моделей, на які поширюється повідомлення, перелічених нижче.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлено в іншій продукції, ми оновимо цю статтю.
Зверніть увагу, що це стосується IJ Scan Utility для Windows версій від 1.1.2 до 1.5.0 (включно з обома версіями). Перегляньте моделі, на які поширюється повідомлення.
Драйвери MP, що містять оновлене програмне забезпечення, що вирішує цю проблему, доступні на вебсайтах підтримки. Ми радимо нашим клієнтам установити найновішу версію драйвера MP та перевірити, чи встановлено таку версію програмного забезпечення: IJ Scan Utility для Windows версії 1.6.0 або вище.
CVE/CVSS
CVE-2026-1585: «Вразливість шляху виконуваного файлу служби Windows без лапок в IJ Scan Utility для Windows може дозволити локальному зловмиснику запустити шкідливий файл із привілеями ураженої служби».
CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 8,4).Компанія Canon висловлює подяку аналітику з інформаційної безпеки за виявлення цієї вразливості:
- CVE-2026-1585: EnivalChen
-
Виявлено кілька вразливостей у певних багатофункціональних принтерах і лазерних принтерах для малого офісу.
Ці вразливості вказують на можливість того, що в разі прямого підключення пристрою до Інтернету без використання маршрутизатора (дротового або Wi-Fi) неавтентифікований віддалений зловмисник може викликати переповнення буфера або некоректне звільнення пам’яті, що потенційно може призвести до виконання довільного коду та/або атаки типу «відмова в обслуговуванні» (DoS).
Повідомлень про використання цих уразливостей не надходило. Але для того щоб підвищити безпечність продукту, ми радимо нашим клієнтам встановити найновішу версію прошивки, доступну для зазначених нижче моделей продукції, що зазнали впливу вразливостей. Ми також рекомендуємо клієнтам установити приватну IP-адресу для своєї продукції і створити мережеве середовище з брандмауером або дротовим чи бездротовим маршрутизатором, який дає змогу обмежити доступ до мережі.
Докладнішу інформацію про захист продукції, підключеної до мережі, див. в розділі про безпечність продукції.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлена в іншій продукції, ми оновимо цю статтю.
Перегляньте моделі, що зазнали впливу вразливостей.
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукції.
CVE/CVSS
CVE-2025-14231. Переповнення буфера під час обробки WSD завдань друку на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14232. Переповнення буфера під час обробки XML файлу XPS на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14233. Неприпустима помилка під час обробки видалення файлу CPCA на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14234. Переповнення буфера під час обробки списку CPCA на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14235. Переповнення буфера під час обробки даних fpgm шрифту XPS на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14236. Переповнення буфера під час обробки тегів атрибутів адресної книги на багатофункціональних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVE-2025-14237. Переповнення буфера під час обробки аналізу шрифтів XPS на багатофункціональних принтерах та лазерних принтерах для малого офісу. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (базова оцінка: 9,3).
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2025-14231: STARLabs у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14232: GMO Cybersecurity by Ierae у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14233: група PetoWorks у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14234: група ANHTUD у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14235: PHP HOOLIGANS у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14236: програма стажування DEVCORE Intern Program у межах ініціативи Trend Zero Day Initiative
- CVE-2025-14237: група Neodyme у межах ініціативи Trend Zero Day Initiative
Історія оновлень
06 Березень 2026 р: оновлено список моделей, на які поширюється це повідомлення.
27 лютого 2026 р: оновлено список моделей, на які поширюється це повідомлення.
20 лютого 2026 р: оновлено список моделей, на які поширюється це повідомлення.
13 лютого 2026 р: оновлено список моделей, що зазнали впливу вразливостей.
15 січня 2026 р.: створено. -
Опис.
Therefore Corporation GmbH нещодавно стало відомо, що Therefore™ Online та Therefore™ On-Premises містять уразливість, що дозволяє зловмисникам видавати себе за іншу особу. Зловмисник може видати свій обліковий запис за обліковий запис вебслужби або обліковий запис служби, що використовує API, під час підключення до сервера Therefore™. Якщо зловмисник отримає доступ під іншим ім’ям, то він зможе отримати доступ до документів, що зберігаються в Therefore™. Подібне видавання себе за іншу особу відбувається на рівні програми (тобто на рівні доступу), а не на рівні операційної системи.
Версії, на які поширюється проблема.
Усі версії Therefore™ Online та Therefore™ On-Premises.
Запобігання наслідкам / усунення наслідків.
Для систем Therefore™ Online виправлення вже встановлено. Подальші дії від користувачів чи адміністраторів не потрібні.
Для систем Therefore™ On-Premises доступне виправлення для встановлення. Ми наполегливо рекомендуємо встановити виправлення на всі системи Therefore™ On-Premises, незалежно від версії. Ми просимо наших клієнтів звернутися до місцевого офісу Canon або авторизованого партнера-реселера для отримання додаткової інформації.
Зверніть увагу, що компанія Therefore Corporation GmbH вирішила цю проблему, випустивши виправлення 20 жовтня 2025 р.
CVE/CVSS.
CVE-2025-11843: Therefore™ Online та Therefore™ On-Premises містять уразливість, яка дозволяє зловмиснику отримати доступ до всіх збережених даних.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N (базова оцінка: 8,8). -
У деяких драйверах принтерів для виробничих принтерів, багатофункціональних принтерів для офісів / малих офісів і лазерних принтерів було виявлено численні вразливості. Ці вразливості потенційно можуть призвести до доступу поза межами виділеного буфера пам’яті та/або атак типу «відмова в обслуговуванні» (DoS) під час обробки завдання друку шкідливою програмою.
CVE/CVSS
CVE-2025-7698: вразливості читання поза межами пам’яті в обробці завдання друку уражених драйверів принтера.
CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N (базова оцінка: 5,9).
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:L (базова оцінка: 5,9).
CVE-2025-9903: вразливості запису поза межами пам’яті в обробці завдання друку уражених драйверів принтера.
CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N (базова оцінка: 5,9).
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:L (базова оцінка: 5,9).
CVE-2025-9904: вразливості доступу до нерозподіленої пам’яті в обробці завдання друку ураженого драйвера принтера.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (базова оцінка: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (базова оцінка: 5,3).
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2025-7698: Джозеф Істо (Joseph Eastoe) працює з командою Microsoft Offensive Research and Security Engineering (MORSE)
Історія оновлень
13 березня 2026 р.: додано уражені драйвери принтера (LIPS4 Printer Driver, LIPSLX Printer Driver, UFR II Printer Driver, PS Printer Driver та PCL6 Printer Driver) у посиланні
15 січня 2026 р.: додано уражені драйвери принтера (драйвер принтера UFRII LT, драйвер принтера CARPS2 та універсальний драйвер факсу) у посиланні
25 вересня 2025 р.: створено -
Компанії Canon U.S.A., Inc. нещодавно стало відомо, що в програмі Canon EOS Webcam Utility Pro для MAC OS міститься вразливість, пов’язана з неналежними правами доступу до каталогів. Для експлуатації цієї потенційної вразливості зловмиснику потрібні права адміністратора. Зловмисник може змінити каталог, що потенційно може призвести до виконання коду та, зрештою, підвищення привілеїв.
Незважаючи на те, що ми не отримували повідомлень щодо експлуатації, ми рекомендуємо вам прочитати доступне за посиланням повідомлення щодо безпеки.
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
Попередження щодо безпеки. Заходи щодо пом’якшення/усунення вразливостей Canon EOS Webcam Utility Pro для MAC OS -
Виявлено вразливість типу pass-back, яка може вплинути на деякі високопродуктивні принтери, багатофункціональні принтери для офісів / малих офісів і лазерні принтери Canon. Ця вразливість може дозволити зловмиснику, якщо він отримає права адміністратора на пристрої, здобути інформацію про автентифікацію, як-от з’єднання з сервером SMTP/LDAP, налаштовані у пристрої.
Оскільки безпека інфраструктури друку наших клієнтів має критичне значення, ми рекомендуємо дотримуватися наведених нижче вказівок:
- Не підключайте пристрої напряму до загальнодоступних інтернет-мереж. Натомість під час підключення до Інтернету використовуйте приватну IP-адресу в середовищі, де доступ до Інтернету можливий із захищеної приватної мережі, створеної за допомогою брандмауерів, дротових маршрутизаторів або маршрутизаторів Wi-Fi.
- Змініть пароль, встановлений за замовчуванням, на новий.
- Налаштуйте ідентифікатори та паролі адміністратора та звичайних користувачів.
- Переконайтеся, що паролі та інші подібні налаштування для різних функцій досить складно вгадати.
- Якщо пристрій має функції одно- або багатофакторної автентифікації, використовуйте їх для підтвердження особи кінцевого користувача, який використовує пристрій.
- Враховуйте вимоги фізичної безпеки, зокрема пов’язані з розташуванням пристрою тощо.
Перегляньте тут, щоб отримати додаткові відомості про безпеку в разі підключення пристроїв до мережі.
Також для захисту від цієї вразливості було встановлено оновлення мікропрограми для низки наших пристроїв. Перегляньте моделі, на які поширюється це повідомлення, та відвідайте сторінку підтримки для отримання інформації про прошивку, програмне забезпечення та підтримку продукту або зверніться до місцевої служби підтримки клієнтів.
CVE/CVSS
CVE-2025-3078:
Вразливість типу pass-back, яка стосується високопродуктивних принтерів та багатофункціональних принтерів для офісів.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (базова оцінка: 6.3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (базова оцінка: 8.7).CVE-2025-3079:
Вразливість типу pass-back, яка стосується багатофункціональних принтерів для офісів / малих офісів та лазерних принтерів.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (базова оцінка: 6.3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (базова оцінка: 8.7).Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2025-3078: Крістофер Халлер працює з Centripetal.
- CVE-2025-3079: Владислав Воложенко, незалежний дослідник безпеки.
-
У деяких драйверах принтерів було виявлено вразливість виходу за межі пам’яті, яка потенційно може вплинути на низку високопродуктивних принтерів Canon, багатофункціональних принтерів для офісів / малих офісів та лазерних принтерів. Ця вразливість може спричинити проблеми безпеки, зокрема блокування функції друку, якщо шкідливе завдання друку буде оброблено вразливим драйвером принтера. Також існує ймовірність виконання довільного коду під час обробки друку ураженим драйвером принтера.
Оскільки безпека інфраструктури друку наших клієнтів має критичне значення, оновлений драйвер принтера для драйверів V3.15 та пізніших версій тепер доступний на сторінках Центру підтримки для бізнес-клієнтів Canon Europe, а також на сторінках локальних ресурсів. Клієнтам рекомендується завантажити це нове програмне забезпечення, щоб вирішити проблему. Докладніше див. нижче.
CVE/CVSS
CVE-2025-1268: вразливість виходу за межі пам’яті в обробці EMF Recode ураженого драйвера принтера
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N (базова оцінка: 9,3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L (базова оцінка: 9,4).
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2025-1268: Роберт Орд (Robert Ord) працює з командою Microsoft Offensive Research and Security Engineering (MORSE)
Історія оновлень
13 березня 2026 р.: додано уражені драйвери принтера (LIPS4 Printer Driver, LIPSLX Printer Driver, UFR II Printer Driver, PS Printer Driver та PCL6 Printer Driver) у посиланні
16 червня 2025 р.: додано уражений драйвер принтера (драйвер PDF) у посиланні
08 травня 2025 р.: додано уражені драйвери принтера (драйвер принтера UFRII LT та драйвер принтера CARPS2) у посиланні
17 квітня 2025 р.: додано уражений драйвер принтера (драйвер принтера Generic FAX) у посиланні
28 березня 2025 р.: створено -
Для певних драйверів багатофункціональних і лазерних принтерів для офісів / малих офісів виявлено вразливості виходу за межі пам’яті, які можуть перешкоджати друку створеного документа XPS.
CVE/CVSS
CVE-2025-0234: вразливість виходу за межі пам’яті в обробці сегментації кривої у враженому драйвері принтера.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (базова оцінка: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (базова оцінка: 5,3).
CVE-2025-0235: вразливість виходу за межі пам’яті через неправильне звільнення пам’яті під час візуалізації зображення в ураженому драйвері принтера.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (базова оцінка: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (базова оцінка: 5,3).
CVE-2025-0236: вразливість виходу за межі пам’яті в обробці нахилу під час візуалізації кривої в ураженому драйвері принтера.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (базова оцінка: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (базова оцінка: 5,3).
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2025-0234, CVE-2025-0235 і CVE-2025-0236: devoke@HUST, wh1tc і Zhiniang Peng (@edwardzpeng), які працюють із командою безпеки Kap0k
-
Виявлено кілька вразливостей у певних багатофункціональних принтерах і лазерних принтерах для малого офісу.
Через ці вразливості на пристрої, підключеному безпосередньо до Інтернету без використання маршрутизатора (дротового або Wi-Fi), неавторизований віддалений зловмисник може виконати довільний код. Зловмисник також може атакувати пристрій через Інтернет за допомогою атаки типу «відмова в обслуговуванні» (Denial-of-Service, DoS).
<Переповнення буфера>
CVE-2024-12647
CVE-2024-12648
CVE-2024-12649
CVE-2025-2146Повідомлень про використання цих уразливостей не надходило. Але для того щоб підвищити безпечність продукту, ми радимо нашим клієнтам встановити найновішу версію прошивки, доступну для зазначених нижче моделей продукції, що зазнали впливу вразливостей. Ми також рекомендуємо клієнтам установити приватну IP-адресу для своєї продукції і створити мережеве середовище з брандмауером або дротовим чи бездротовим маршрутизатором, який дає змогу обмежити доступ до мережі.
Докладнішу інформацію про захист продукції, підключеної до мережі, див. в розділі про безпеку продукції.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлена в іншій продукції, ми оновимо цю статтю.
Перегляньте моделі, що зазнали впливу вразливостей.
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукції.
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2024-12647: ExLuck (@ExLuck99) з ANHTUD, що працює з ініціативою Zero Day Initiative компанії Trend
- CVE-2024-12648: Neodyme (@Neodyme), що працює з ініціативою Zero Day Initiative компанії Trend
- CVE-2024-12649: PHP Hooligans / Midnight Blue (@midnightbluelab), що працює з ініціативою Zero Day Initiative компанії Trend
- CVE-2025-2146: YingMuo (@YingMuo) з програми стажування DEVCORE, яка працює з ініціативою Zero Day Initiative компанії Trend
Історія оновлень
20 лютого 2026 р: оновлено список моделей, на які поширюється це повідомлення.
20 червня 2025 р.: оновлено список моделей, на які поширюється це повідомлення.
22 травня 2025 р.: додано CVE ID (CVE-2025-2146), що відноситься до тієї ж серії продукції.
21 лютого 2025 р: оновлено список моделей, на які поширюється це повідомлення.
27 січня 2025 р.: створено. -
Потенційну проблему щодо унікальності ідентифікаційних карток було виявлено в пристроях для зчитування карт, ребрендинг яких було здійснено компанією NT-ware (спочатку розроблялися та надавалися rf IDEAS), публікація CVE-2024-1578.
Незважаючи на те, що ми не отримували повідомлень щодо експлуатації, ми рекомендуємо вам прочитати доступне за посиланням повідомлення щодо безпеки.
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
-
В uniFLOW Online виявлено потенційну вразливість для загроз безпеці під час реєстрації пристрою, публікація CVE-2024-1621.
Незважаючи на те, що ми не отримували повідомлень щодо експлуатації, ми рекомендуємо вам прочитати доступне за посиланням повідомлення щодо безпеки.
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
Повідомлення щодо безпеки: реєстрація пристрою може бути вразливою для загроз безпеці
-
Уразливість до переповнення буфера в процесі протоколу WSD виявлено в деяких багатофункціональних офісних принтерах і лазерних принтерах для малого офісу.
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
-
Виявлено кілька вразливостей у певних багатофункціональних принтерах і лазерних принтерах для малого офісу.
Через ці вразливості на пристрої, підключеному безпосередньо до Інтернету без використання маршрутизатора (дротового або Wi-Fi), неавторизований віддалений зловмисник може виконати довільний код. Зловмисник також може атакувати пристрій через Інтернет за допомогою атаки типу «відмова в обслуговуванні» (Denial-of-Service, DoS).
<Переповнення буфера>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244Повідомлень про використання цих уразливостей не надходило. Але для того щоб підвищити безпечність продукту, ми радимо нашим клієнтам встановити найновішу версію прошивки, доступну для зазначених нижче моделей продукції, що зазнали впливу вразливостей. Ми також рекомендуємо клієнтам установити приватну IP-адресу для своєї продукції і створити мережеве середовище з брандмауером або дротовим чи бездротовим маршрутизатором, який дає змогу обмежити доступ до мережі.
Докладнішу інформацію про захист продукції, підключеної до мережі, див. в розділі про безпечність продукції.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлена в іншій продукції, ми оновимо цю статтю.
Перегляньте моделі, на які поширюється повідомлення.
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукції.
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2023-6229: Нгуєн Куок (Viet), що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-6230: анонім, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-6231: група Team Viettel, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-6232: ANHTUD, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-6233: ANHTUD, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-6234: група Team Viettel, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2024-0244: Коннор Форд (Connor Ford) (@ByteInsight) з Nettitude, що працює з ініціативою Zero Day Initiative компанії Trend Micro
-
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
-
Опис
У програмному забезпеченні IJ Network Tool (далі — програмне забезпечення) виявлено дві вразливості. Ці вразливості дають змогу зловмиснику, підключеному до тієї ж мережі, що й принтер, отримати конфіденційну інформацію про налаштування з’єднання Wi-Fi принтера, використовуючи програмне забезпечення або його канал зв’язку.
CVE/CVSS
CVE-2023-1763: отримання конфіденційної інформації про налаштування з’єднання Wi-Fi принтера з програмного забезпечення. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N — базова оцінка: 6,5.
CVE-2023-1764: отримання конфіденційної інформації про налаштування з’єднання Wi-Fi принтера з каналу зв’язку програмного забезпечення. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N — базова оцінка: 6,5.
Продукція, на яку розповсюджується проблема
CVE-2023-1763 стосується таких моделей:
Network Tool для Mac:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Сервер бездротового друку WP-20
Network Tool для Windows:
Не застосовується
CVE-2023-1764 стосується таких моделей:
Network Tool для Mac:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Сервер бездротового друку WP-20
Network Tool для Windows:
MAXIFY iB4040, MAXIFY iB4050
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Сервер бездротового друку WP-20
Версії, на які поширюється проблема
CVE-2023-1763 стосується таких версій:
Network Tool для Mac:
4.7.5 і новіші (підтримувані ОС: OS X 10.9.5 — macOS 13)
4.7.3 і новіші (підтримувані ОС: OS X 10.7.5 — OS X 10.8)
Network Tool для Windows:
Не застосовується
CVE-2023-1764 стосується таких версій:
Network Tool для Mac:
4.7.5 і новіші (підтримувані ОС: OS X 10.9.5 — macOS 13)
4.7.3 і новіші (підтримувані ОС: OS X 10.7.5 — OS X 10.8)
Network Tool для Windows:
Вер. 3.7.0
Запобігання наслідкам / усунення наслідків
Для CVE-2023-1763:
Обхідний шлях для цієї вразливості полягає у використанні принтерів із надійним мережевим підключенням. Див. статтю про безпеку продукції під час підключення до мережі тут.
Крім того, завантажте оновлені версії програмного забезпечення для Network Tool для Mac.
Щоб дізнатися, як оновити програмне забезпечення для струменевих принтерів MAXIFY і PIXMA до версії 4.7.6 (підтримувані ОС: OS X 10.9.5 — macOS 13) або 4.7.4 (підтримувані ОС: OS X 10.7.5 — OS X 10.8), відвідайте сторінку завантаження програмного забезпечення для споживчих товарів, виберіть свою модель, перейдіть на вкладку Software (Програмне забезпечення) і виберіть мережевий інструмент IJ Network Tool або асистент з’єднання з мережею Wi-Fi Connection Assistant.
Для CVE-2023-1764:
Обхідний шлях для цієї вразливості полягає у використанні принтерів із надійним мережевим підключенням. Див. статтю про безпеку продукції під час підключення до мережі тут.
Подяки
Компанія Canon висловлює подяку Національному центру кібербезпеки Нідерландів за повідомлення про ці вразливості.
-
Виявлено кілька вразливостей у певних багатофункціональних принтерах, лазерних принтерах та струменевих офісних принтерах / принтерах для малого офісу.
Через ці вразливості на пристрої, підключеному безпосередньо до Інтернету без використання маршрутизатора (дротового або Wi-Fi), неавторизований віддалений зловмисник може виконати довільний код. Зловмисник також може атакувати пристрій через Інтернет за допомогою атаки типу «відмова в обслуговуванні» (Denial-of-Service, DoS). Зловмисник також може встановити довільні файли через неналежну автентифікацію RemoteUI.
<Переповнення буфера>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974<Проблеми під час первинної реєстрації системних адміністраторів у протоколах керування>
CVE-2023-0857<Неналежна автентифікація RemoteUI>
CVE-2023-0858<Установлення довільних файлів>
CVE-2023-0859Повідомлень про використання цих уразливостей не надходило. Але для того щоб підвищити безпечність продукту, ми радимо нашим клієнтам встановити найновішу версію прошивки, доступну для зазначених нижче моделей продукції, що зазнали впливу вразливостей. Ми також рекомендуємо клієнтам установити приватну IP-адресу для своєї продукції і створити мережеве середовище з брандмауером або дротовим чи бездротовим маршрутизатором, який дає змогу обмежити доступ до мережі.
Докладнішу інформацію про захист продукції, підключеної до мережі, див. в розділі про безпечність продукції.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлена в іншій продукції, ми оновимо цю статтю.
Перегляньте моделі, на які поширюється повідомлення.
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукції.
Покрокові інструкції з оновлення прошивки для струменевих принтерів MAXIFY, PIXMA та imagePROGRAF див. в онлайн-посібнику.
Canon висловлює подяку аналітикам з інформаційної безпеки за виявлення цих вразливостей:
- CVE-2023-0851: Namnp, Ле Тран Хуй Тунг (Le Tran Hai Tung), ANHTUD, що працюють у межах ініціативи Trend Micro Zero Day Initiative
- CVE-2023-0852: R-SEC, Nettitude, що працюють у межах ініціативи Trend Micro Zero Day Initiative
- CVE-2023-0853: DEVCORE, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-0854: DEVCORE, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-0855: Чі Тран, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-0856: група Team Viettel, що працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2023-0857: Алекс Рубін і Мартін Рахманов
- CVE-2023-0858: Алекс Рубін і Мартін Рахманов
- CVE-2023-0859: Алекс Рубін і Мартін Рахманов
-
У uniFLOW Server і uniFLOW Remote Print Server виявлено потенційну проблему щодо вразливості даних.
Незважаючи на те, що ми не отримували повідомлень щодо експлуатації, ми рекомендуємо вам оновити прошивку пристрою до актуальної версії.
Докладні відомості про вразливість, пом’якшення проблеми та її виправлення можна знайти за адресою:
-
У лазерних і багатофункціональних принтерах для малих офісів Canon було виявлено кілька випадків виникнення вразливості, пов’язаної з переповненням буфера.
Незважаючи на те, що ми не отримували повідомлень щодо експлуатації, ми рекомендуємо вам оновити прошивку пристрою до останньої версії.
Наявність вразливості означає, що в разі прямого підключення пристрою до Інтернету без дротового або Wi-Fi маршрутизатора третя сторона через Інтернет зможе виконати довільний код або що продукт піддасться атаці DoS (Denial-of Service, відмова в обслуговуванні).
Ми не рекомендуємо підключатися безпосередньо до Інтернету — використовуйте приватну IP-адресу в захищеній приватній мережі, яка налаштована через брандмауер або дротовий/WiFi маршрутизатор. Відвідайте вебсайт www.canon-europe.com/support/product-security, щоб отримати інформацію про безпеку пристрою, підключеного до мережі.
Ми продовжуємо посилювати наші заходи безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливість буде виявлено в іншій продукції, ми оновимо цю статтю.
Перегляньте моделі, на які поширюється повідомлення.
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукту.
Canon висловлює подяку аналітику з інформаційної безпеки за виявлення цієї вразливості.
- CVE-2022-43608: Angelboy (@scwuaptx) з дослідницької групи DEVCORE, яка працює з ініціативою Zero Day Initiative компанії Trend Micro
-
У лазерних і багатофункціональних принтерах для малих офісів Canon було виявлено кілька випадків виникнення вразливості, пов’язаної з переповненням буфера. Відповідні вразливості CVE: CVE-2022-24672, CVE-2022-24673 і CVE-2022-24674. Список моделей, на які поширюється проблема, наведено нижче.
Незважаючи на те, що ми не отримували повідомлень про експлуатацію вразливостей, ми рекомендуємо вам оновити прошивку пристрою до останньої версії.
Наявність цієї вразливості означає, що в разі прямого підключення продукту до Інтернету без дротового або Wi-Fi маршрутизатора існує можливість того, що третя сторона через Інтернет зможе виконати довільний код або що продукт піддасться атаці DoS (Denial-of Service, відмова в обслуговуванні).
Ми не рекомендуємо підключатися безпосередньо до Інтернету — використовуйте приватну IP-адресу в захищеній приватній мережі, яка налаштована через брандмауер або дротовий/WiFi маршрутизатор. Відвідайте вебсайт www.canon-europe.com/support/product-security, щоб отримати інформацію про безпеку пристрою, підключеного до мережі.
Ми продовжимо роботу з подальшого посилення заходів безпеки, щоб ви могли спокійно користуватися продукцією Canon. Якщо вразливості будуть виявлені в іншій продукції, ми одразу оновимо цю статтю.
Лазерні та багатофункціональні принтери для малих офісів, які вимагають вжиття заходів для виправлення неполадки:
imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550ZВідвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукту.
CANON висловлює подяку наведеним спеціалістам за виявлення цієї вразливості.
- CVE-2022-24672: Мехді Талбі (@abu_y0ussef), Ремі Жуліан (@netsecurity1), Томас Жюне (@cleptho) з @Synacktiv, що працюють з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2022-24673: Angelboy (@scwuaptx) з дослідницької групи DEVCORE, яка працює з ініціативою Zero Day Initiative компанії Trend Micro
- CVE-2022-24674: Ніколя Девільє (@nikaiw), Жан-Ромен Гарньє та Рафаель Ріго (@_trou_), що працюють з ініціативою Zero Day Initiative компанії Trend Micro
-
Програма Spring MVC або Spring WebFlux під час роботи на JDK 9+ може бути вразливою до віддаленого виконання коду через прив’язку даних. Експлойт вимагає запустити програму на Tomcat як пакет для розгортання WAR. Якщо програма розгорнута як jar-файл Spring Boot, що виконується, тобто, за умовчанням, експлойт неможливий. Однак ця вразливість має більш загальний характер, і можуть існувати інші способи її експлуатації. Шкідливий файл може виконувати будь-які дії: красти дані або секретні матеріали, запускати інше програмне забезпечення, у тому числі програми-вимагачі, добувати криптовалюту, впроваджувати бекдори та створювати варіанти для подальшого злому мережі.
https://cpp.canon/products-technologies/security/latest-news/
Мета створення цієї сторінки — перерахувати продукти для промислового друку Canon (CPP), на які можуть вплинути такі звіти CVE:
- CVE-2022-22947
- CVE-2022-22950
- CVE-2022-22963
- CVE-2022-22965
У таблиці нижче наведено статус вразливості для перелічених апаратних і програмних продуктів для промислового друку Canon. Регулярно перевіряйте цю таблицю, щоб отримувати інформацію про оновлення статусу.
Продукція, що пройшла перевірку, включно з їхнім станом
CTS — системи подачі аркушів та тонера / струминна листова друкарська машина
Продукція
Стан
Продукти на базі сервера друку PRISMAsync
Не вплинуло
Серія varioPRINT 140
Не вплинуло
Серія varioPRINT 6000
Не вплинуло
Серія varioPRINT i
Не вплинуло
Серія varioPRINT iX
Не вплинуло
Сервісна станція керування (SCS) для серій VPi300 і VPiX
Не вплинуло
Планшет для серій VPi300 і VPiX
Не вплинуло
Симулятор PRISMAsync i300/iX
Не вплинуло
PRISMAprepare V6
Не вплинуло
PRISMAprepare V7
Не вплинуло
PRISMAprepare V8
Не вплинуло
PRISMAdirect V1
Не вплинуло
PRISMAprofiler
Не вплинуло
PRISMA Cloud
PRISMA Home
PRISMAprepare Go
PRISMAlytics Accounting
Не вплинуло
PPP — продукція для промислового друку
Продукція
Стан
ColorStream 3×00
ColorStream 3x00Z
Не вплинуло
Colorstream 6000
Не вплинуло
ColorStream 8000
Не вплинуло
ProStream 1×00
Не вплинуло
LabelStream серії 4000
Не вплинуло
ImageStream
Не вплинуло
JetStream V1
JetStream V2
Не вплинуло
VarioStream 4000
Не вплинуло
VarioStream серії 7000
Не вплинуло
VarioStream 8000
Не вплинуло
PRISMAproduction Server V5
Не вплинуло
PRISMAproduction Host
Не вплинуло
PRISMAcontrol
Не вплинуло
PRISMAspool
Не вплинуло
PRISMAsimulate
Доступна нова версія*
TrueProof
Не вплинуло
DocSetter
Не вплинуло
DPconvert
Не вплинуло
* Зв’яжіться з місцевим центром технічного обслуговування Canon
LFG — широкоформатна графіка
Продукція
Стан
Серія Arizona
перевіряється
Серія Colorado
Не вплинуло
ONYX HUB
перевіряється
ONYX Thrive
перевіряється
ONYX ProductionHouse
перевіряється
TDS — системи технічної документації
Продукція
Стан
Серія TDS
Не вплинуло
Серія PlotWave
Не вплинуло
Серія ColorWave
Не вплинуло
Scanner Professional
Не вплинуло
Driver Select, Driver Express, Publisher Mobile
Не вплинуло
Publisher Select
Не вплинуло
Account Console
Не вплинуло
Repro Desk
Не вплинуло
Засоби обслуговування та підтримки
Продукція
Стан
Віддалені сервіси
Не вплинуло
-
У процесі генерації ключів RSA в криптографічній бібліотеці, установленій на деякі багатофункціональні принтери Canon для підприємств / невеликих офісів, лазерні та струменеві принтери, було підтверджено наявність вразливості. Повний список продуктів, на які поширюється проблема, наведено нижче.
Ризик цієї вразливості полягає в можливості оцінки секретного ключа для загальнодоступного ключа RSA через проблеми з процедурою генерування пари ключів RSA.
Якщо пара ключів RSA використовується для TLS або IPSec і створюється криптографічною бібліотекою із цією вразливістю, цей загальнодоступний ключ RSA може бути захоплений третьою стороною або навіть підроблений.Наразі ми не отримали жодних повідомлень про інциденти, пов’язані з даною вразливістю, і користувачі можуть бути впевнені, що для прошивки на пошкоджених продуктах вона буде усунена
Якщо пара ключів RSA була створена криптографічною бібліотекою із цією вразливістю, після оновлення прошивки потрібно виконати додаткові дії. Залежно від того, на що саме поширилась ця вразливість, див. описані нижче кроки для перевірки ключа та заходи, які потрібно виконати для належного усунення проблеми.
Крім того, не підключайте пристрої безпосередньо до Інтернету та використовуйте брандмауер, середовище з дротовим підключенням або захищене приватне мережеве середовище під час використання маршрутизатора Wi-Fi. Також задайте приватну IP-адресу.
Для отримання додаткових відомостей див. розділ Захист пристроїв під час підключення до мережі.
Багатофункціональні принтери Canon для підприємств / малих офісів, лазерні та струменеві принтери, власникам яких потрібно виконати ці дії.
imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300,PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538PДії для перевірки та усунення проблеми з ключами для струменевих принтерів
Відвідайте розділ Підтримка, щоб знайти інформацію про прошивку, програмне забезпечення та підтримку продукту.
-
Наразі ми вивчаємо вплив вразливості Log4j https://logging.apache.org/log4j/2.x/security.html на продукти Canon. Ця стаття оновлюватиметься в міру отримання нової інформації.
У таблиці нижче наведено статус вразливості для перелічених апаратних і програмних продуктів. Регулярно відвідуйте цю сторінку.
Виріб
Стан/заява
Canon
• imageRUNNER
• imageRUNNER ADVANCE
• imagePRESS
• i-SENSYS
• i-SENSYS X
• imagePROGRAF
• imageFORMULA
Ця проблема не поширюється на ці пристрої.
Canon
• imageWARE Management Console
• imageWARE Enterprise Management Console
• eMaintenance Optimiser
• eMaintenance Universal Gateway
• Canon Data Collection Agent
• Remote Support Operator Kit
• Content Delivery Service
• Device Settings Configurator
• Canon Reporting Service Online
• OS400 Object Generator
• Драйвер CQue
• Драйвер SQue
Ця проблема не поширюється на програмне забезпечення.
Canon Production Printing
• Системи подачі аркушів та тонера PRISMA
• Безперервне сканування
• Широкоформатна графіка
• Системи технічної документації
https://cpp.canon/products-technologies/security/latest-news/
NT-ware
• uniFLOW
• uniFLOW Online
• uniFLOW Online Express
• uniFLOW sysHub
• PRISMAsatellite
https://www.uniflow.global/en/security/security-and-maintenance/
Avantech
• Scan2x
• Scan2x Online
Cirrato
• Cirrato One
• Cirrato Embedded
Не поширюється.
Compart
• DocBridge Suite
Docspro
• Import Controller
• XML Importer
• Email Importer
• Knowledge Base
• Universal Test Release
• Advanced PDF Creator
• Webservice Export Connector
Не поширюється.
Docuform
• Mercury Suite
Не поширюється.
Doxsense
• WES Pull Print 2.1
• WES Authentication 2.1
Не поширюється.
EFI
• Fiery
https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes
• Genius MFP Canon Client
Вразливість Log4j — Genius Bytes
Не поширюється
IRIS
• IRISXtract
• IRISPowerscan
• Readiris PDF 22
• Readiris 16 & 17
• Cardiris
• IRISPulse
Kantar
• Вебопитування Discover Assessment
Не поширюється.
Netaphor
• SiteAudit
Вразливості та SiteAudit | База знань Netaphor SiteAudit(TM)
Netikus
• EventSentry
Чи поширюється на EventSentry вразливість Log4Shell Log4j RCE CVE-2021-44228 | EventSentry
Newfield IT
• Asset DB
Не поширюється.
Objectif Lune
• Connect
У попередніх версіях Objectif Lune Connect використовувався модуль log4j, але його видалили з програмного забезпечення з випуском Objectif Lune Connect 2018.1. Поки ви використовуєте версію Objectif Lune Connect 2018.1 або пізнішу, ця вразливість не з’явиться.
OptimiDoc
• OptimiDoc
Загальне обслуговування
• Print In City
Не поширюється.
PaperCut
• PaperCut
Log4Shell (CVE-2021-44228) — як це стосується PaperCut? | PaperCut
Paper River
• TotalCopy
Не поширюється.
Ringdale
• FollowMe Embedded
Не поширюється.
Quadient
• Inspire Suite
Quadient University: інформація про Log4J для поточних клієнтів
T5 Solutions
• TG-PLOT/CAD-RIP
Не поширюється.
Therefore
• Therefore
• Therefore Online
Tungsten
• PowerPDF
• eCopy ShareScan
• Robotic Process Automation
• Рішення Tungsten Communications Manager
Продукція Tungsten та інформація про вразливість Apache Log4j2 — Tungsten
Не поширюється.
Доки виправлення ShareScan не будуть готові, дотримуйтесь інструкцій у статті ShareScan and Log4j vulnerability (CVE-2021-44228) (Вразливість ShareScan та Log4j (CVE-2021-44228)) — Tungsten.
Доступні виправлення. Див. статтю Tungsten RPA CVE-2021-44228 log4j Security Exploit Information (Інформація про експлуатацію вразливості безпеки log4j CVE-2021-44228 у Tungsten RPA).
Доступні виправлення. Див. статтю log4j vulnerability in Tungsten Communications Manager (Вразливість log4j у Tungsten Communications Manager).
Westpole
• Intelligent Print Management
Не поширюється.
-
У функції Remote UI лазерних принтерів та багатофункціональних принтерів Canon для малих офісів було виявлено вразливість міжсайтового скриптингу; див. моделі, на які поширюється проблема нижче (ідентифікатор вразливості: JVN # 64806328).
Щоб експлуатувати цю вразливість, зловмиснику потрібно перебувати в режимі адміністратора. Незважаючи на відсутність повідомлень про втрату даних, рекомендується встановити останню версію прошивки для підвищення безпеки. Оновлення можна знайти тут: https://www.canon-europe.com/support/.
Ми рекомендуємо налаштувати приватну IP-адресу та середовище з підключенням через брандмауер або маршрутизатор Wi-Fi з обмеженням доступу до мережі. Відвідайте вебсайт https://www.canon-europe.com/support/product-security/, щоб отримати додаткові відомості про безпеку в разі підключення пристроїв до мережі.
Продукти, на які поширюється проблема:
iSENSYS
LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dwimageRUNNER
2206IF
2204N, 2204F -
Раніше цього року було виявлено вразливість диспетчера черги друку Microsoft Windows, яка отримала назву PrintNightmare. Ця вразливість дозволяє хакерам за певних умов керувати системами користувачів Windows.
Незважаючи на те, що це може впливати на пристрої Canon, вразливість є помилкою програмного забезпечення Microsoft, а не роботи апаратного або програмного забезпечення Canon. Проблема полягає у функціональності диспетчера черги друку, який установлено на всіх ОС Windows Server та Windows.
Корпорація Microsoft оголосила, що ці вразливості були усунені в оновленні безпеки Microsoft від 6 липня, яке доступне в Центрі оновлень Windows або вручну за допомогою пакета KB5004945. Microsoft рекомендує ІТ-фахівцям негайно застосувати це оновлення, щоб запобігти атакам, пов’язаним із цими вразливостями. Докладнішу інформацію від Microsoft див. на вебсайті https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Крім дотримання поради Microsoft щодо встановлення оновлень для захисту системи потрібно підтвердити, що для наведених далі ключів реєстру вибрано значення 0 (нуль) або not defined (не визначено) (примітка: ці ключі реєстру за замовчуванням не існують, тому спочатку є метою засобів безпеки). Також переконайтеся, що для групової політики визначено правильну конфігурацію:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) або not defined (параметри за замовчуванням)
- UpdatePromptSettings = 0 (DWORD) або not defined (параметри за замовчуванням)
Наявність ключа реєстру NoWarningNoElevationOnInstall зі значенням 1 робить вашу систему більш вразливою.
Рекомендується, щоб ІТ-фахівці продовжували відстежувати оновлення на вебсайті підтримки Microsoft, щоб застосовувати всі відповідні виправлення операційної системи.
-
За результатами дослідження ми встановили, що ця вразливість не впливає на продукцію imageRUNNER, imageRUNNER ADVANCE та i-SENSYS. Ми продовжуємо дослідження всієї лінійки продукції Canon та оновлюватимемо цю статтю в міру надходження додаткової інформації.
-
Федеральне відомство з інформаційної безпеки (BSI) повідомило нам, що реалізація мережевих механізмів у microMIND вразлива до низки експлойтів. Ці вразливості були виявлені компанією Forescout Technologies, дослідниками Йосом Ветцельсом (Jos Wetzels), Станіславом Дашевським (Stanislav Dashevskyi), Аміном Амрі (Amine Amri) і Даніелем душ Сантушом (Daniel dos Santos).
У microMIND реалізовано мережевий стек із відкритим вихідним кодом uIP, https://en.wikipedia.org/wiki/UIP_(micro_IP), який використовується тисячами компаній для мережевої інтеграції їхнього програмного та апаратного забезпечення. Дослідники виявили, що використання цих вразливостей може призвести до DoS-атаки, яка виведе пристрій із ладу або уможливить віддалене виконання коду (RCE) на самому пристрої microMIND. Для усунення цих вразливостей компанія NT-ware випустила нову прошивку, яка вирішує всі виявлені проблеми. На момент написання цього бюлетеня про безпеку відомих експлойтів, націлених на microMIND, не існує.
Назва експлойта/посилання: AMNESIA:33, https://www.forescout.com/amnesia33/
Уразливості CVE, які усунуто в цій прошивці: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
Уразливості CVE, не пов’язані з реалізацією стеку uIP у MicroMIND: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Прошивки uniFLOW microMIND, на які поширюється вразливість: версія 2.0.9 і вище або прошивки, випущені до жовтня 2020 р.
Усунення/заходи: якщо у вас є уражена система microMIND, зверніться до представника Canon, щоб оновити прошивку.
-
Компанія з кібербезпеки SCADAfence Ltd., штаб-квартира якої розташована в Ізраїлі привернула нашу увагу до вразливості, пов’язаної з протоколом стеку IP, який використовується в лазерних принтерах Canon та багатофункціональних принтерах Canon для малого офісу. Докладнішу інформацію можна знайти в статті CVE-2020-16849.
Існує потенційна можливість сторонньої атаки на пристрій, коли він підключений до мережі, що дозволяє отримати фрагменти «адресної книги» та/або «пароля адміністратора» через незахищену мережу. Слід зазначити, що в разі використання HTTPS для зв’язку з віддаленим інтерфейсом дані захищені шифруванням.
На сьогоднішній день не було підтверджених випадків використання цих вразливостей із метою заподіяння шкоди. Однак для того, щоб гарантувати клієнтам можливість безпечного використання нашої продукції, буде випущено нові версії прошивки для такої продукції:
Серія i-SENSYS MF
MF113W
MF212W / MF216N / MF217W
MF226DN/MF229DW
MF231 / MF232W / MF237W
MF244DW / MF247DW / MF249DW
MF264DW / MF267DW / MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DWСерія i-SENSYS LBP
LBP113W
LBP151DW
LBP162DWСерія imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IFДокладну інформацію про оновлення прошивки див. в посібнику користувача.
Ми радимо використовувати для продукцію приватну IP-адресу й застосовувати засоби контролю мережевих параметрів, як-от брандмауер або роутер Wi-Fi, які можуть обмежити доступ до мережі. У розділі «Безпека продукції, підключеної до мережі» нижче на цій сторінці наведено додаткові рекомендації. -
Після дослідження вразливості Ripple20 не було виявлено жодної проблеми з продукцією Canon із лінійки принтерів.
-
Хоча пароль для функції бездротового зв’язку Canon відповідає чинному стандарту WPA, ми усвідомлюємо, що рівень безпеки восьмисимвольних числових паролів уже не вважається такою високим, як раніше. З огляду на це ми рекомендуємо завжди підключати обладнання Canon до інфраструктури розгортання Wi-Fi у середовищах, де безпека бездротового зв’язку може бути неналежною, наприклад у громадських місцях. Ми серйозно ставимося до безпеки, оновлюючи конфігурації безпеки Wi-Fi у всіх наших продуктах, щоб допомогти вам захиститися, і будь-які оновлення публікуватимуться на цих сторінках. Компанія Canon висловлює подяку команді REDTEAM.PL за те, що вона привернула нашу увагу до змін у безпеці паролів та їхнього впливу на ринок.
-
У програмній платформі imageRUNNER ADVANCE версії 3.8 і пізніших версій представлено протокол Syslog (сумісний із RFC 5424, RFC 5425 і RFC 5426) з функцією обміну повідомленнями про події майже в реальному часі, що доповнює наявну функціональність журналу пристрою, збільшуючи видимість подій, пов’язаних із пристроєм та його безпекою. В основі — функції ведення журналу пристрою, що дають змогу підключитися до наявної системи управління інформаційними подіями безпеки (SIEM) або сервера Syslog. У наведеному нижче документі SIEM_spec детально описано типи повідомлень і дані запису, які можуть бути створені.
-
В операційній системі VxWorks виявлено одинадцять вразливостей, що отримали назву URGENT/11 (CVE-2019-12255 — CVE-2019-12265). З’ясувалося, що стек IPnet TCP/IP, який застосовано в операційній системі VxWorks, також використовується в інших операційних системах реального часу, що відкриває можливість існування вразливостей (CVE-2019-12255, CVE-2019-12262 та CVE-2019-12264) у ширшому спектрі продуктів.
Низка застарілих європейських моделей можуть бути вразливими до цього ризику, оскільки було виявлено, що вони використовують зачеплений цими вразливостями стек TCP/IP IPnet:
- i-SENSYS MF4270
- i-SENSYS MF4370dn
- i-SENSYS MF4380dn
- imageRUNNER 2318
- imageRUNNER 2318L
- imageRUNNER 2320
- imageRUNNER 2420
- imageRUNNER 2422
Ми рекомендуємо переглянути засоби контролю мережевої безпеки та/або перейти із поточного пристрою Canon на найновішу еквівалентну модель. Додаткову інформацію можна знайти в посібнику із захисту БФП Canon (посилання наведено внизу цієї сторінки) іна нашій глобальній сторінці Canon. -
Щиро дякуємо за використання продукції Canon.
Міжнародна команда дослідників безпеки привернула нашу увагу до вразливості, пов’язаної з передаванням даних через протокол передавання зображень (PTP), який використовується в цифрових камерах Canon, а також на вразливість, пов’язану з оновленням прошивки.
(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001.)
Через ці вразливості існує потенційна можливість сторонньої атаки на камеру, якщо вона підключена до ПК або мобільного пристрою, що був зламаний через незахищену мережу.
На цей момент підтверджених випадків використання цих вразливостей із метою заподіяння шкоди немає, але для того, щоб надати клієнтам можливість безпечно використовувати нашу продукцію, ми хочемо повідомити вам про наведені нижче способи вирішення цієї проблеми.
- Переконайтеся, що настройки безпеки підключених до камери пристроїв, як-от ПК, мобільний пристрій і маршрутизатор, відповідають вимогам.
- Не підключайте камеру до ПК або мобільного пристрою, який використовується в незахищеній мережі, наприклад у бездротовому середовищі Wi-Fi.
- Не підключайте камеру до ПК або мобільного пристрою з підвищеним ризиком зараження вірусом.
- Вимикайте мережеві функції фотокамери, коли вони не використовуються.
- Для оновлення прошивки фотокамери завантажуйте офіційну версію прошивки з вебсайту Canon.
ПК та мобільні пристрої дедалі частіше використовуються в незахищеному мережевому середовищі (безкоштовних мережах Wi-Fi), де користувачі не знають про безпеку мережі. Оскільки передавання зображень із камери на мобільний пристрій через з’єднання Wi-Fi стало поширеною практикою, ми впровадимо оновлення прошивки для наведених нижче моделей, які мають функцію Wi-Fi.
Ці вразливості зачіпають такі цифрові дзеркальні та бездзеркальні камери серії EOS:
EOS-1DC*1 *2 EOS 6D Mark II EOS 760D EOS M6 Mark II PowerShot SX740 HS EOS-1DX*1 *2 EOS 7D Mark II*1 EOS 800D EOS M10 EOS-1DX MK II*1 *2 EOS 70D EOS 1300D EOS M50 EOS 5D Mark III*1 EOS 77D EOS 2000D EOS M100 EOS 5D Mark IV EOS 80D EOS 4000D EOS R EOS 5DS*1 EOS 200D EOS M3 EOS RP EOS 5DS R*1 EOS 250D EOS M5 PowerShot G5X Mark II EOS 6D EOS 750D EOS M6 PowerShot SX70 HS *1 Якщо використовується адаптер Wi-Fi або бездротовий передавач файлів, з’єднання по Wi-Fi може бути встановлено.
*2 Ці вразливості також зачіпають Ethernet-з’єднання.
Інформація про оновлення прошивки буде надана для кожного виробу по черзі, починаючи з продукції, для якої підготовку вже завершено.
- Ми виявили проблему з безпекою, яка виникає за певних сценаріїв використання uniFLOW, і компанія NT-Ware випустила виправлення для її вирішення. Ми наполегливо рекомендуємо вам якнайшвидше запустити це виправлення у вашій системі.
Існує можливість отримання несанкціонованого доступу, якщо для автентифікації застосовується пара «ім’я користувача / пароль» або механізм аналізу картки.Це стосується лише певних версій програмного забезпечення, якщо вони використовуються з такими методами автентифікації:• uniFLOW V5.1 SRx• uniFLOW V5.2 SRx• uniFLOW V5.3 SRx• uniFLOW V5.4 SR10 (переглянуте виправлення) і вище• uniFLOW 2018 LTS SRx (переглянуте виправлення)• uniFLOW 2018, випуски v (переглянуте виправлення)Якщо ви використовуєте uniFLOW V5.1 SRx, uniFLOW V5.2 SRx або uniFLOW V5.3 SRx, зверніться до свого авторизованого реселера або представника служби підтримки Canon.
Інструкції з установлення виправлення можна знайти тут.
Ми прагнемо надавати нашим клієнтам безпечні рішення й просимо вибачення за незручності, які спричинила ця ситуація. Якщо вам потрібна додаткова інформація щодо цієї рекомендації, зверніться до місцевого офісу Canon, авторизованого реселера або представника служби підтримки Canon. Якщо ви помітили будь-яку підозрілу активність, негайно повідомте про це свого менеджера з роботи з клієнтами та ІТ-відділ. -
Нещодавно дослідники повідомили про вразливості, виявлені в протоколах зв’язку у функціях факсу певних пристроїв. (CVE-ID: CVE-2018-5924, CVE 2018-5925.) Нижче наведено інформацію про вплив цих вразливостей на продукцію Canon, що мають функції факсу.
За результатами нашого аналізу, дія вразливостей не поширюється на наведену нижче продукцію, тому що в ній не використовується протокол факсу Colour G3 Fax Protocol, який експлуатується цими вразливостями: моделі серій imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP та imageCLASS/i-SENSYS, що підтримують функції факсу.
У продукції серій MAXIFY та PIXMA, що підтримує функції факсу, використовується протокол факсу Colour G3 Fax Protocol. Однак ми не виявили жодного ризику виконання шкідливого коду через ланцюг факсу або ризику для безпеки інформації, збереженої на цих пристроях.
Ми продовжуватимемо стежити за ситуацією та вживатимемо відповідних заходів для захисту безпеки наших пристроїв.
-
Нещодавно були оприлюднені вразливості в деяких процесорах Intel, AMD та ARM, які використовують так зване спекулятивне виконання для покращення продуктивності. Ці вразливості можуть надати зловмиснику несанкціонований доступ до ділянок приватної кешованої пам’яті.
Було виявлено та визначено два варіанти вразливостей, які використовують різні методи для експлуатації функцій спекулятивного виконання в уражених процесорах. Це CVE-2017-5715, CVE-2017-5753: Spectre та CVE-2017-5754: Meltdown.
Уразливості можуть зачіпати наведені нижче зовнішні контролери Canon. Хоча наразі не відомо, як саме можна скористатися цими вразливостями, готуються контрзаходи, які дозволять клієнтам і далі без проблем користуватися нашою продукцією.
ColorPASS:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1imagePASS:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0imagePRESS-CR Server:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1imagePRESS Server:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0Уразливості можуть зачепити наведені нижче сервіси Canon. Хоча наразі не відомо, як саме можна скористатися цими вразливостями, до кінця лютого 2018 р. були впроваджені контрзаходи.
MDS Cloud
Усі лазерні багатофункціональні принтери Canon, лазерні принтери Canon та пов’язані з ними програмні продукти, за винятком наведених вище, не зачеплені жодним відомим процесом експлуатації цих вразливостей. Клієнти можуть продовжувати з упевненістю використовувати нашу продукцію.
Компанія Canon постійно працює заради захисту найвищого рівня безпеки всій своїй продукції та рішень. Ми серйозно ставимося до безпеки даних наших клієнтів, і їхній захист є для нас найвищим пріоритетом.
-
Нещодавно дослідник оприлюднив уразливість на ім’я KRACKs у стандартному протоколі шифрування бездротових локальних мереж (Wi-Fi) WPA2. Ця вразливість дає зловмиснику змогу перехопити дані, що передаються в бездротовий спосіб між клієнтом (терміналом з підтримкою Wi-Fi) та точкою доступу (роутером тощо), для виконання потенційно зловмисних дій. Із цієї причини ця вразливість не може бути використана будь-ким, хто перебуває поза зоною дії сигналу Wi-Fi, або віддаленим зловмисником, що використовує Інтернет для доступу.
Ми ще не отримали підтвердження щодо того, чи зіткнулися користувачі продукції Canon із будь-якими проблемами через цю вразливість, однак для того, щоб клієнти могли й далі спокійно користуватися нашою продукцією, ми радимо вживати таких профілактичних заходів:
• Використовуйте USB-кабель або кабель Ethernet для прямого підключення сумісних пристроїв до мережі.
• Шифруйте дані, що передаються із пристроїв, які підтримують настройки шифрування (TLS/IPSec).
• Використовуйте такі фізичні носії, як SD-картки, із сумісними пристроями.
• Використовуйте такі настройки, як прямий бездротовий зв’язок Wireless Direct і пряме з’єднання Direct Connect, із сумісними пристроями.
Оскільки процедури експлуатації та доступні функції залежать від пристрою, зверніться по докладнішу інформацію до посібника з експлуатації вашого пристрою. Ми також рекомендуємо вам вжити відповідних заходів для таких пристроїв, як ваш ПК або смартфон. По інформацію про належні заходи для кожного пристрою зверніться до виробника цього пристрою.
Технічні документи
-
Нам відомо новини у статтях щодо дослідження Університетського альянсу Руру (University Alliance Ruhr) стосовно потенційної вразливості мережевих принтерів через мову програмування PostScript, яка широко використовується в нашій галузі. Пристрої Canon не були протестовані в цьому дослідженні.
Компанія Canon постійно прагне до найвищого рівня безпеки у всій своїй продукції та рішеннях, зокрема мережевих принтерах. Ми серйозно ставимося до безпеки даних наших клієнтів, і їхній захист є нашим найвищим пріоритетом. Наш посібник із захисту БФП містить пояснення та рекомендації щодо оптимальних настройок конфігурації для безпечної роботи.
Нижче наведено інформацію про заходи безпеки для конкретної продукції Canon і процедури їхнього налаштування. Зауважте, що ця інформація доступна лише англійською мовою.
Струменеві принтери (серія PIXMA) та струменеві принтери для бізнесу (серія MAXIFY)
Широкоформатні струменеві принтери (серія imagePROGRAF)
Лазерні принтери та БФП для малого офісу (серії LBP та MF)
БФП для офісу та виробничого друку (серії imageRUNNER, imageRUNNER ADVANCE, imagePRESS)
Мережеві камери
Посібник із захисту БФП
Мережеві сканери (серія imageFORMULA)
Матриця безпеки Canon imageRUNNER
Огляд безпеки використання пристроїв Canon
Технічна документація з безпеки використання моделей imageRUNNER ADAVANCE та imageRUNNER ADVANCE DX
SIEM_spec (imageRUNNER ADVANCE)
Технічна документація з безпеки використання моделей ColorWave та PlotWave SMARTshield
Сертифікати
-
Компанія Canon приділяє найбільшу увагу інформаційній безпеці, захищаючи конфіденційність, цілісність і доступність письмової, усної та електронної інформації, щоб гарантувати постійне дотримання наведених нижче вимог.
- Конфіденційність — забезпечення доступу до інформації лише тим особам, хто має на це право.
- Цілісність — захист точності й повноти інформації та методів її оброблення.
- Доступність — забезпечення доступу авторизованих користувачів до інформації в разі потреби.
Сертифікація за стандартом ISO 27001 демонструє, що компанія Canon Europe має належні системи для захисту корпоративної інформації та даних як онлайн, так і офлайн. Маючи сертифікат ISO 27001, компанія Canon Europe може підтвердити, що її процеси безпеки на всіх етапах від розроблення до надання послуг пройшли зовнішнє оцінювання та були сертифіковані третьою стороною на відповідність міжнародно визнаному стандарту.
Європейське відділення корпорації Canon отримало сертифікат відповідності ISO 27001 за запровадження системи керування інформаційною безпекою, що вкотре демонструє споживачам нашу відповідність світовим стандартам. Цей стандарт охоплює всі аспекти інформаційної безпеки, у тому числі керування ризиками та проведення аудиту, безпеку продуктів і ліквідацію наслідків надзвичайних подій.
Наша система управління інформаційною безпекою (СУІБ) охоплює наведені нижче сфери.
- Політика безпеки
- Організація інформаційної безпеки
- Управління активами
- Кадрова безпека
- Фізична та екологічна безпека
- Управління зв’язком та операціями
- Керування доступом
- Придбання, розробка та обслуговування інформаційних систем
- Управління інцидентами інформаційної безпеки
- Управління безперервністю бізнесу
- Дотримання нормативних вимог
Розкриття інформації про вразливості продукції
-
Canon EMEA PSIRT (група реагування на інциденти з безпекою продукції) є частиною глобальної організації Canon PSIRT і відповідає за реагування на інциденти з вразливостями, пов’язані з продукцією, системами та сервісами Canon EMEA. Ми дотримуємося найкращих галузевих практик, щоб підвищити рівень безпеки продукції та надавати нашим клієнтам продукти з високим рівнем безпечності.
До Canon EMEA PSIRT необхідно направляти інформацію, пов’язану з будь-якою ймовірною вразливістю продукції. Ми оброблятимемо цю інформацію відповідно до нашої Політики розкриття інформації про вразливості.
Повідомити про вразливість продукції
Якщо вам відомо про проблему з безпекою продукції, системи або сервісу Canon, розкажіть нам про неї.
-
Якщо ви вважаєте, що виявили проблему з безпекою продукції Canon або бажаєте повідомити про інцидент із безпекою, ви можете зв’язатися з командою реагування на інциденти з безпекою продукції Canon у регіоні EMEA, надіславши повідомлення на адресу електронної пошти product-security@canon-europe.com або заповнивши нашу Форму повідомлення про вразливості продукції. Надайте детальний опис проблеми з безпекою, точну назву продукту, версію програмного забезпечення та характер проблеми. Також вкажіть адресу електронної пошти та номер телефону, щоб ми могли зв’язатися з вами, якщо нам знадобиться додаткова інформація.
-
Зауважте, що ця адреса електронної пошти та форма призначені лише для повідомлення про вразливості, пов’язані з безпекою продукції, а не для загальних питань щодо підтримки. Якщо вам потрібна допомога з будь-яких інших питань щодо продукції, відвідайте наші сторінки підтримки.
Політика розкриття інформації про безпеку ІТ-систем
Компанія Canon серйозно ставиться до безпеки своїх ІТ-систем і цінує спільноту, яка займається питаннями безпеки. Розкриття інформації про слабкі місця в системі безпеки допомагає нам бути надійним партнером, що гарантує захист і конфіденційність своїм користувачам. Ця політика пояснює вимоги й механізм розкриття вразливостей ІТ-систем Canon для регіону EMEA, даючи дослідникам змогу повідомляти команді інформаційної безпеки Canon EMEA про вразливості безпеки в захищений та етичний спосіб.
Ця політика поширюється на всіх, включно з внутрішніми співробітниками Canon і зовнішніми учасниками процесу.
-
Команда інформаційної безпеки Canon EMEA прагне захистити клієнтів і співробітників Canon, і відповідно до цього зобов’язання ми запрошуємо дослідників безпеки допомогти Canon у захисті, активно повідомляючи про вразливості та слабкі місця в нашій системі безпеки. Ви можете повідомити про виявлені вами вразливості за адресою appsec@canon-europe.com.
Домени у сфері застосуванняНижче наведено перелік доменів, на які поширюється дія Політики розкриття інформації про вразливості Canon.
*.canon-europe.com
*.canon.nl
*.canon.co.uk
*.canon.com.tr
*.canon.com.de
*.canon.com.sa
*.canon.com.ae
*.canon.com.jp
*.canon.com.ca
*.canon.no
*.canon.es
*.canon.se
*.canon.pl
*.canon.be
*.canon.pt
*.canon.it
*.canon.dk
*.canon.ch
*.canon.fi
*.canon.at
*.canon.fr
*.canon.ie
*.uaestore.canon.me.com
-
Ви можете повідомити нам про вразливості електронною поштою: appsec@canon-europe.com. Укажіть у своєму електронному листі якомога чіткіше й детальніше, яку вразливість ви виявили, та надайте будь-які докази, маючи на увазі, що повідомлення буде розглянуто фахівцями служби безпеки Canon. Зокрема, включіть у свій електронний лист таку інформацію:
- Тип вразливості
- Покрокові інструкції з відтворення вразливості
- Підхід, який ви використовували
- Повна URL-адреса
- Об’єкти (як фільтри або поля введення), що можуть бути задіяні у вразливості
- Знімки екрана (за наявності)
- Укажіть у звіті про вразливості вашу IP-адресу. Ця інформація зберігатиметься в таємниці для відстеження ваших дій із тестування і для перегляду журналів з нашого боку.
Ми не приймаємо результатів роботи автоматизованих програмних сканерів.
Чого ми не приймаємо:- уразливості, пов’язані з великим обсягом запитів / відмовою в обслуговуванні (тобто просто перевантаження нашого сервісу великою кількістю запитів)
- Слабкі місця в конфігурації TLS (наприклад, підтримка «слабкого» набору шифрів, підтримка TLS1.0, sweet32 тощо)
- Проблеми з верифікацією адрес електронної пошти, що використовуються для створення облікових записів користувачів у зв’язку із сервісом myid.canon
- XSS із посиланнями на себе
- Скрипти зі змішаним вмістом на www.canon.*.
- Небезпечні файли cookie на www.canon.*.
- Атаки CSRF та CRLF із мінімальним впливом
- XSS в заголовку хосту HTTP без робочого експериментального підтвердження
- Неповнота/відсутність SPF/DMARC/DKIM
- Атаки із застосуванням соціальної інженерії
- Помилки безпеки на сторонніх вебсайтах, які інтегруються з Canon
- Методи перебору мережевих даних (наприклад, перехоплення банерів, наявність загальнодоступних сторінок серверної діагностики)
- Повідомлення про те, що наші сервіси не повністю відповідають «найкращим практикам»
-
Експерти з інформаційної безпеки Canon розглянуть ваше повідомлення і зв’яжуться з вами протягом 5 робочих днів.
Ваша конфіденційність
Ми використовуватимемо ваші особисті дані лише для вжиття заходів на основі вашого повідомлення. Ми не передаватимемо ваші персональні дані іншим особам без вашого чіткого дозволу.
-
Потенційно незаконні дії
Якщо ви виявите вразливість і дослідите її, ви можете вчинити дії, що переслідуються законом. Якщо ви дотримуватиметеся наведених нижче правил і принципів повідомлення про слабкі місця в наших ІТ-системах, ми не повідомлятимемо про ваше правопорушення органам влади і не подаватимемо позовів.
Однак ви маєте знати, що рішення про притягнення вас до відповідальності може прийняти офіс прокурора, а не компанія CANON, навіть якщо ми не повідомляли про ваше правопорушення владі. Це означає, що ми не можемо гарантувати, що вас не притягнуть до відповідальності, якщо під час дослідження вразливості ви вчините кримінальне правопорушення.
Національний центр кібербезпеки при Міністерстві безпеки та юстиції розробив рекомендації щодо повідомлення про вразливості в ІТ-системах. Наші правила базуються на цих рекомендаціях. (https://english.ncsc.nl/)
Загальні принципиБудьте відповідальні та дійте з особливою увагою та обережністю. Під час дослідження використовуйте лише ті методи або прийоми, які необхідні для пошуку й демонстрації слабких місць.
- Не використовуйте виявлені вами слабкі місця для інших цілей, окрім як для власного дослідження.
- Не використовуйте методи соціальної інженерії для отримання доступу до системи.
- Не будуйте жодних «чорних ходів» (так званих бекдорів) — навіть для того, щоб продемонструвати вразливість системи. Бекдори послаблюють безпеку системи.
- Не змінюйте й не видаляйте будь-яку інформацію в системі. Якщо вам потрібно скопіювати інформацію для дослідження, ніколи не копіюйте більше, ніж потрібно. Якщо достатньо одного запису, зупиніться.
- Не змінюйте систему жодним чином.
- Проникайте в систему лише в разі крайньої необхідності. Якщо вам вдалося проникнути в систему, не надавайте доступу іншим.
- Не використовуйте для отримання доступу до систем методи простого перебирання, такі як багаторазове введення паролів.
- Не використовуйте для отримання доступу атаки типу «відмова в обслуговуванні» (DoS).
-
Чи отримаю я винагороду за своє дослідження?
Ні, ви не отримаєте жодної компенсації.
Чи можу я оприлюднити знайдені мною вразливості й результати дослідження?
Ніколи не публікуйте інформацію про недоліки в ІТ-системах Canon або результати свого дослідження, не зв’язавшись із нами заздалегідь електронною поштою: appsec@canon-europe.com. Ми можемо разом запобігти зловживанню вашою інформацією зловмисниками. Проконсультуйтеся з нашою командою з інформаційної безпеки, і ми разом попрацюємо над оприлюдненням.
Чи можу я повідомити про вразливість анонімно?
Так, ви можете це зробити. Ви не зобов’язані вказувати своє ім’я та контактні дані, коли повідомляєте про вразливість. Однак пам’ятайте, що ми не зможемо проконсультуватися з вами щодо подальших заходів (наприклад, що нам робити з вашим повідомленням) або потенційної співпраці.
Для чого не слід використовувати цю електронну адресу?
Електронна адреса appsec@canon-europe.com не призначена для такого:
- Подання скарг на продукцію або сервіси Canon
- Надсилання запитань або скарг щодо доступності вебсайтів Canon
- Повідомлення про шахрайство або підозру в шахрайстві
- Повідомлення про фальшиві або фішингові електронні листи
- Повідомлення про віруси