Canon, bazı SOHO lazer ve MFP yazıcılarda çeşitli güvenlik açıklarının keşfedildiği konusunda uyarıyor. Bir ürün İnternet'e yönlendirici olmadan bağlanırsa, saldırganlar etkilenen cihazlara önceden kimlik doğrulaması yapmadan rastgele kod ekleyebilir.
Duyuru
Canon'un güvenlik duyurusu son derece kısa ve gizlidir. Boşluklar ayrıca cihazların İnternet üzerinden hizmet reddi yoluyla felç olmasına da olanak tanır. Canon, ayrıntıya girmeden veya örneğin CVSS'ye göre belirli bir önem düzeyi belirtmeden, toplam yedi güvenlik açığından bahsediyor.
Canon: Kritik boşluklara sahip SOHO yazıcı
Ancak Cannon, her güvenlik açığı için CVE numaralarını listeler. CVE girişleri, güvenlik kusurlarını ve etkilenen yazıcıları daha ayrıntılı olarak açıklamaktadır. Yedi boşluğun tümü CVS değerine ulaşıyor 9.8 ve bu nedenle bir risk düzeyi olarak kabul edilir”eleştirmen“.
CVE girişleri şunlardır:
CVE-2023-6229: CPCA PDL kaynak indirme işleminde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2023-6230: Adres defteri parolası kimlik doğrulama işleminde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2023-6231: WSD'de arabellek taşması ve CVSS istekleri 9.8, eleştirmen
CVE-2023-6232: Kullanıcı adı CVSS için adres defteri kimlik doğrulama sürecinde arabellek taşması 9.8, eleştirmen
CVE-2023-6233: SLP, CVSS öznitelik isteği sürecinde arabellek taşması 9.8, eleştirmen
CVE-2023-6234: CPCA Renkli LUT kaynak indirmesinde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2024-0244: CPCA PCFAX numarası işlemede ara bellek taşması, CVSS 9.8, eleştirmen
Etkilenen yazıcı modelleri bölgeye göre farklılık gösterir. Japonya'da Satera LBP670C ve Satera MF750C serisi, ABD'de ise Color imageCLASS LBP674C güvenlik açıkları bulunmaktadır.
Canon, söz konusu yazıcı serisiyle ilgilenen müşterilerin indirip yüklemesi gereken güncellenmiş ürün yazılımı sürümlerini destek sayfalarına yüklemek istiyor. Üretici ayrıca yazıcılara özel bir IP adresi atanmasını ve bunların bir güvenlik duvarı veya kablolu veya WiFi yönlendirici arkasında kullanılmasını da önerir. Bunlar ağ erişimini sınırlayabilir.
Güvenlik açıkları genellikle farklı üreticilerin yazıcılarında bulunur. Geçen yıl, kodların HP LaserJet Pro yazıcılara da gizlice sokulmasına izin veren güvenlik açıkları bulunmuştu.
(Bilmiyorum)
Haberin Sonu
Duyuru
Canon'un güvenlik duyurusu son derece kısa ve gizlidir. Boşluklar ayrıca cihazların İnternet üzerinden hizmet reddi yoluyla felç olmasına da olanak tanır. Canon, ayrıntıya girmeden veya örneğin CVSS'ye göre belirli bir önem düzeyi belirtmeden, toplam yedi güvenlik açığından bahsediyor.
Canon: Kritik boşluklara sahip SOHO yazıcı
Ancak Cannon, her güvenlik açığı için CVE numaralarını listeler. CVE girişleri, güvenlik kusurlarını ve etkilenen yazıcıları daha ayrıntılı olarak açıklamaktadır. Yedi boşluğun tümü CVS değerine ulaşıyor 9.8 ve bu nedenle bir risk düzeyi olarak kabul edilir”eleştirmen“.
CVE girişleri şunlardır:
CVE-2023-6229: CPCA PDL kaynak indirme işleminde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2023-6230: Adres defteri parolası kimlik doğrulama işleminde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2023-6231: WSD'de arabellek taşması ve CVSS istekleri 9.8, eleştirmen
CVE-2023-6232: Kullanıcı adı CVSS için adres defteri kimlik doğrulama sürecinde arabellek taşması 9.8, eleştirmen
CVE-2023-6233: SLP, CVSS öznitelik isteği sürecinde arabellek taşması 9.8, eleştirmen
CVE-2023-6234: CPCA Renkli LUT kaynak indirmesinde arabellek taşması, CVSS 9.8, eleştirmen
CVE-2024-0244: CPCA PCFAX numarası işlemede ara bellek taşması, CVSS 9.8, eleştirmen
Etkilenen yazıcı modelleri bölgeye göre farklılık gösterir. Japonya'da Satera LBP670C ve Satera MF750C serisi, ABD'de ise Color imageCLASS LBP674C güvenlik açıkları bulunmaktadır.
Canon, söz konusu yazıcı serisiyle ilgilenen müşterilerin indirip yüklemesi gereken güncellenmiş ürün yazılımı sürümlerini destek sayfalarına yüklemek istiyor. Üretici ayrıca yazıcılara özel bir IP adresi atanmasını ve bunların bir güvenlik duvarı veya kablolu veya WiFi yönlendirici arkasında kullanılmasını da önerir. Bunlar ağ erişimini sınırlayabilir.
Güvenlik açıkları genellikle farklı üreticilerin yazıcılarında bulunur. Geçen yıl, kodların HP LaserJet Pro yazıcılara da gizlice sokulmasına izin veren güvenlik açıkları bulunmuştu.
(Bilmiyorum)
Haberin Sonu