この記事では、PaperCut製品のセキュリティに関する質問の回答および特定のセキュリティの脆弱性に関する情報を記載しています。
注目の話題
● Spring Shell/Spring4Shell の脆弱性
PaperCut製品は現在提供されているPOCの影響はありませんが、今後のリリースでSpringが推奨する仕様に変更する予定です。
● Log4Shell(CVE-2021-44228)のPaperCutへの影響について
PaperCut Plus/MF Ver.21.0以降に影響があります。
詳細はここを参照してください。
● PrintNightmare脆弱性によるPaperCutソフトウェアへの影響について
OSレベルの印刷への影響があります。詳細はここ(Windows Updateに関してPapeCutが公開している情報)を参照してください。
● セキュリティ一般的な質問
● セキュリティ・スタンダードとフレームワーク
● セキュリティの脆弱性情報
セキュリティの一般的な質問
Q: PaperCutサーバのセキュリティに関するアドバイスはありますか?
A: 別記事「PaperCutサーバをセキュアにする方法」に
PaperCutアプリケーション・サーバをロックダウンするためのアドバイスを記載しています。
Q: PaperCut はパスワードを保存しますか?
A: ユーザ認証は、通常はActive Directory や LDAP などのディレクトリ・サービス経由でオペレーティング・システムにより実行されます。
PaperCut 上にはユーザのパスワードは保存されず、代わりにリアルタイムにディレクトリ・サービスへ問合せを行います。
パスワードを保存したりキャッシュしたりするのはセキュリティ上リスクがあるとみなされています。
この規則の例外は、内部管理者ユーザ(admin) と内部ユーザです。
内部管理者のパスワードは設定ファイル「server.properties」に一方向のソルト化したハッシュ形式で保存されます。
ディレクトリが停止中であっても管理者レベルでログインできるようにするために、
ビルトイン管理者はディレクトリのユーザ・アカウントとは別に保持されます。
内部ユーザのパスワードはPaperCut のデータベースに、
セキュリティのベスト・プラクティス(ユーザ名+パスワード+ソルトの組み合わせを考慮したMD5 サム)に沿った一方向ハッシュとして保存されます。
セキュア一方向ハッシュの使用により、悪意のある第三者がPaperCutデータベースへアクセスしても
ユーザのパスワードの秘密が保たれることを保証します。
Q: PaperCut はどのようにActive Directory で認証を行いますか?
A: PaperCutサーバとActive Directory 間の通信はWindowsOSにより安全に提供されています。
PaperCutはローカルWindowsシステム上のAD APIを呼び出します。
またPaperCutソフトウェアはリモート・サーバからネットワーク経由でパスワードを収集しません。パスワードはAD自体により処理されます。
PaperCut 上にはユーザのパスワードは保存されず、代わりにリアルタイムにディレクトリ・サービスへ問合せを行います。
パスワードを保存したりキャッシュしたりするのはセキュリティ上リスクがあるとみなされています。
この規則の例外は、内部管理者ユーザ(admin) と内部ユーザです。
内部ユーザのパスワードについては上記「PaperCutはパスワードを保存しますか?」を参照してください。
Q: PaperCut はどのレベルの暗号化を使用していますか?
A: クライアント- サーバ間の機密データの通信は、SSLリンクを介して行われます。
これはWebブラウザで「https://website」へ接続するために使用される暗号化と同等のレベルです。
Q: ポップアップ認証を使用する予定です。検討する必要がある事項を教えてください。
A: ポップアップ認証は補助的な認証メソッドです。
通常はプロトコル・レベルの認証システムを優先して使用すべきではありません。
ポップアップ認証(IPセッションベースの認証) とセキュリティ上の考慮事項に関しての詳細は
「ポップアップ認証を使用する場合の検討事項」を参照してください。
Q: PaperCut はHttpOnly セキュアクッキーを使用していますか?
A: 使用しています。PaperCut
Ver.17.1では、特定のスタイルのXSS攻撃や平文で不適切に送信されたセキュア・セッション・データの傍受など、多くの潜在的リスクを軽減するため、
セキュアな接続を経由してアクセスしようとすると生成されるすべてのセッションCookieがSecureもしくはHtmlOnlyとしてマークされるようになっています。
Q: 外部に9191/9192 ポートを開放することはできますか?
A: ベスト・プラクティスとしては、必要がない限りインターネットに任意のサービスを公開しないことをお勧めします。
弊社ではPaperCut をセキュアで、インターネットのHTTPSポート9192を開放することによりユーザが次のようなサービスを容易に行えるよう設計しています。
・ リモート管理
・ ユーザが自宅からユーザ用Web画面にログインして自分の残高の確認やクレジットを追加することを許可
弊社は多くの大規模な大学/カレッジの利用者がいます。
これらの大学では2005年からPaperCut のポートをインターネットに開放しています。
弊社では平文のポート9191ではなくポート9192(TLSポート)を開放することを推奨しています。
Q: PaperCut と関連する実行可能ファイルには操作に必要な最小限の権限が付与されていますか?
最小限の権限の概念は?
A: はい。Windows, Mac, Novell, Linux いずれのPaperCut も非特権アカウントで実行するように設計されています。
「プロセス外」で実行されるユーザ認証など、Linux 上のキー・セキュリティ・プロセスは高い権限で実行する必要があります。
そのため、より高い権限はプロセス・レベルで分離されます。
Windows上では、PaperCut はローカル・アクセスのみ(ネットワーク・リソースへのアクセスはできない) のアカウント「SYSTEM」として
メインのプロセスを実行されます。
Q: XML Web サービス API のアクセスを制御することはできますか?
A: Web サービス API のために2つのレベルのアクセス制御を提供しています。
1つ目は、すべてのコール(Call) は有効な認証トークン(通常ビルトイン管理者ユーザのパスワード) を渡す必要があります。
これを渡さない場合、すべてのコールは拒否されます。セキュリティの2番目のレベルはIPアドレス・レベルのフィルタリングです。
デフォルトでは、PaperCut は「localhost(127.0.0.1)」 からのコールのみ許可します。
必要に応じて、サーバのIPアドレスを手動で付与することにより他のサーバへ拡張することができます。
有効なIP アドレス/範囲 は<オプション> タブから定義することができます。
Q: 管理者のアクティビティは監査されていますか?
A: はい、監査されています。原則として、プリンタ詳細の編集、ユーザのアカウントの作成, 削除, 編集など主要な操作が監査されています。
これら監査の記録は<ログ> タブに日時と詳細そしてこの操作を実行したユーザが表示されます。
ファイルの読み書き権限があるフルレベルのシステム管理者は、データ・ファイルを編集し監査跡を変更することができると言われています。
標準で制限された権限しか付与されていないPaperCut のみの管理者はWebインタフェース経由のみのアクセスとなるため
これら記録を編集することはできません。
Q: PaperCutが使用するサード・パーティのライブラリとコンポーネントのセキュリティはどうなっていますか?
A: PaperCut は多くのサード・パーティのライブラリとコンポーネントを使用しています。
コンポーネントのセキュリティは弊社開発チームにて監視されています。
問題が発生した場合、セキュリティ上の問題を評価し対処します。
弊社ではサード・パーティのコンポーネントのセキュリティを弊社独自のコードと同様に取り扱っています。
状況により弊社ではサード・パーティのベンダーを共同でセキュリティの問題に対応することもあります。
サード・パーティのセキュリティ管理の例としてGhost Trap プロジェクトがあります。
この構想はPaperCut によりスタートし、Ghostscript PDL インタプリタにより最適なセキュリティの実装を行いました。
Q: PaperCutは印刷ドキュメントの電子署名の利用をサポートしていますか?
A: ウォーターマーク機能を使用することにより、印刷物の各ページに簡単に電子署名を入れることができます。
この署名は、印刷ジョブの主要な属性(印刷時刻、ユーザ名、プリンタ名、文書名)と秘密鍵を暗号化アルゴリズムで組み合わせ、
文書ごとに一意のエンコード化された文字列を生成します。
MD5とSHA1のメッセージダイジェストアルゴリズムは、これらの要素を一意の署名文字列に変換するために利用でき、
暗号の安全性の度合いを設定することができます。
この署名は、印刷したページがどのユーザによって作成されたかを追跡するために使用され、
機密コンテンツの不正または不法な送信をトラッキングすることができます。
PaperCut Ver.17.1以降、印刷文書全体で署名が見えるように、ページ全体にウォーターマークを適用することができます。
これにより、印刷物から署名の削除が不可能となります。
Q: ユーザ・インタフェースの一部エリアでPaperCutサーバに接続して情報を取得することを提案する記述があります。
(例 管理者画面の<PaperCutについて>にある[アップデート情報を確認]ボタン)
このアウトバウンド通信はセキュアに実行されますか?
A: これまでPaperCutサーバへのアクセスは、アップデートの確認、ユーザ・コマンドのエラーレポートの送信、ニュースのダウンロードなど、
通常のHTTP経由で行われていました。
PaperCut Ver.17.2.3以降、すべてのアウトバウンド通信はHTTPSで行われるようになったため、
通信が傍受されるリスクを最小限に抑えられるようになりました。
Q: システム・エラー・ページに診断情報が含まれる場合があります。
A: PaperCut Ver.17.3 以前のHTMLエラーページにはエラーに関する技術的なコンテキストが表示されていました。
表示された情報には基本的なシステム情報も含まれており、セキュリティの高い環境では不要な露見となる可能性があります。
バージョン17.3以降、これらのエラーページを生成する際、スタックトレースデータのみを出力し、
特定される可能性のある情報は省略されるようになりました。
Q: WebプリントでMicrosoft Officeドキュメントに対応するためには、
サンドボックス・サーバにMicrosoft Officeをインストールする必要があります。
マクロが埋め込まれているドキュメントのアップロードはセキュリティ上のリスクがありますか?
A: Office文書をサポートする場合、サンドボックス・モードを使用する必要があります。
サンドボックス・モードを使用すると、Webプリント・サービスの実行を複数のサーバへ分割することができます。
最小限の構成で完全にPaperCutソリューション・アーキテクチャの主要コンポーネントとは異なるマシンです。
これにより、オフィス文書を開いたりりレンダリングしたりするのは、これらのスタンドアロン・サーバだけとなり、
これらのマシンのいずれかが侵入された場合でも、一時的な文書データのみが流出する可能性があります。
影響を受けたWebプリント・サーバは、基本的なシステムイメージから切り離して復元し、プロセスの脅威を排除することができます。
さらに、PaperCut ver.17.4.2以降を実行しているWebプリント・サーバは、
マクロが埋め込まれたドキュメントの実行を拒否するよう設定することができます。
設定は設定キー「web-print.disable-macros」から行います。
この設定により、ドキュメントを介したWebプリントの設定に与える影響を最小限に抑えることができます。
セキュリティ・スタンダードとフレームワーク
Q: PaperCutはセキュリティ規格XYZの認証を取得していますか?
A: PaperCutは主要なセキュリティ・ガイドラインとプラクティスに沿って開発されています。
現在、ISO27001のような正式なセキュリティ認証は取得していません。
セキュリティに対する業界の注目度が高まる中、PaperCut社はセキュリティの実践を正しく行うべく、継続的に取り組んでいます。
● 開発責任者が率いるセキュリティ・レスポンス・チーム(SRT) は、
報告された問題に対してセキュリティ・スペシャリストが個別かつタイムリーに対応する体制を整えています。
● PaperCut社では、外部のセキュリティ・コンサルタントと協力して一般的なセキュリティ・ポリシーの実践および
PaperCutソフトウェア製品におけるお客様情報を保護するために使用する特定の技術やアーキテクチャの監査を実施しています。
● PaperCut利用中および検討中のお客様は、当社のソフトウェアを定期的にPENテストして監査しており、
発見された脆弱性を最優先に修正しています。
Q: PaperCut はPCI 認定を取得していますか?
A: PaperCut 自体は直接クレジット・カードを処理しません。
そのためPCI 認定はPaperCut 自体には適切ではなく要求されていません。
PaperCut インタフェースをサード・パーティのペイメント・ゲートウェイ(例: PayPal,CyberSource, Authorize.Net など )と使用する場合、
それらペイメント・ゲートウェイがカード処理を行います。
PaperCut がサポートしているすべてのクレジット・カード・ゲートウェイ/プロバイダがPCI DSS の認定を取得しています。
支払いを行う場合、ユーザはプロバイダの「支払いページ」へ直接アクセスしWebサイトにクレジット・カードの詳細を入力します。
PCI認定はサイト特有であり、PaperCutがアプリケーションとして実装するものではありません。
Q: PaperCutソフトウェア内に印刷実行ユーザの情報がストアされます。
EU一般データ保護規則(GDPR)に準拠したアプリケーションにできますか?
A: EU一般データ保護規則(GDPR)は、
ユーザが自分に関連するすべての保存データにアクセスする権利と忘れられる権利を持つことを義務付けています。
要望に応じて、組織が保存している自分に関する識別可能なデータを永久に削除する権利あります。
これは、情報システムにおける個人情報の保護がますます重視されることになったことを反映する大きな変化です。
PaperCut Ver.17.2 で、組織が印刷システムに関してこれらの要件を満たすことができるような方式を導入しています。
PaperCut社はEU圏内の企業にとって、GDPRの完全準拠が非常に重要であることを理解し、
GDPR準拠ガイドを作成して移行に伴う負担を軽減するよう努めました
Q: PaperCut のセキュリティ・スキャナを実行したところ警告が表示されました。どうしてでしょうか?
A: PaperCut は数千以上の組織で使用されています。
これら組織の多くで様々なセキュリティ分析とスキャニング・ツールを使用しています。
問題が発生し「高い」をマークしたら、弊社までご連絡ください。
これらシステムの多くはPaperCutと印刷管理アプリケーションとは関連しない問題を検出する場合が多いです。
しかし問題の切り分けのため、弊社開発チームにて検証を行わせて頂きます。
Q: PaperCut はSQL インジェクション攻撃を受けやすいですか?
A: 弊社の標準コーディングングと設計のポリシーは、このタイプの攻撃を制限するように設計されています。
PaperCut 内のすべてのデータベース・クエリはパラメータ化したSQLを使用して開発しています。
これは、PaperCut がユーザにより提供されたデータを使用してSQL文を直接ビルドしないことを意味します。
すべてのSQLパラメータは基礎となるデータベース・ライブライにより処理されています。
そのため、PaperCut はSQLインジェクション攻撃を受けにくいです。
Q: CSRF(クロスサイト・リクエスト・フォージェリ) 攻撃に対する保護機能は実装されていますか?
A: PaperCut Plus/MFには、一般的なCSRF攻撃ベクトルに対する多くの予防策が実装されており、
個人がシステム情報や設定への高度なアクセスを許可するような方法でHTTPリクエストコンテンツを変更できないようにすることを目的としています。
例えば、Ver.17.3では、ヘッダベースのチェックがデフォルトで有効になっており、
提供されたOriginとDestinationヘッダのクロスチェックによりリクエストのOriginを検証し、Origin不明のリクエストを拒否します。
Q: セキュリティ解析ツール(例: PCIコンプライアンス スキャン など) は
PaperCut は脆弱な暗号を受け入れるように設定されていると報告しています。
どのように対処すればよいですか?
A: 対処方法に関しましては「SSL暗号設定 - 脆弱な暗号を削除する方法」を参照してください。
特定の脆弱性について
‘Shellshock’ (CVE-2014–6271, CVE-2014–7169)
Q: PaperCutはShellShock脆弱性(CVE-2014–6271, CVE-2014–7169)の影響はありますか?
A: ShellShockと呼ばれる脆弱性は、攻撃者がBash(およびBashをコールするプログラム)を攻撃ベクトルとして使用し、
リモートでシステムを制御することができるようになる可能性があります。
このバグは、多くのGNU/Linuxユーザや、OS X やWindowsなどのプロプライエタリOS上でBashを使用している場合に影響します。
この脆弱性の影響があるほとんどのソフトウェアベンダはすでにパッチを提供しています。
PaperCut自体はGNU bashをバンドルしているません。
しかし、Bashユーザはには影響を受ける可能性のあるサービスを監査することをお勧めします。
これらの問題の詳細は下記ページを参照してください。
【CVE-2014-6271】https://nvd.nist.gov/vuln/detail/CVE-2014-6271
【CVE-2014-7169】https://nvd.nist.gov/vuln/detail/CVE-2014-7169
PaperCutはShellShockの脆弱性の影響をうけませんが、PaperCutがホストしているシステムに脆弱性がある可能性はあります。
PaperCutの大部分は、JVM(Java Virtual Machine)上のJavaコードで動作します。
PaperCutが他のプロセスを実行する箇所もありますが、呼び出されるコマンドはハードコーディングされており、
実行前に外部から環境変数を設定することはできません。
そのため、PaperCutはこの攻撃に対して脆弱ではありません。
‘Freak’ (CVE-2015–0204)
Q: PaperCut はSSL/TLS の脆弱性(“FREAK”攻撃) (CVE-2015–0204)の影響はありますか?
A: "FREAK" 攻撃は悪質な中間攻撃者(マンインザミドル)であり、暗号化に使用する強度をダウングレードします。
この脆弱性は一部のSSL/TLSの実装に適用されます。
PaperCut はFREAK攻撃の脆弱性がない最新のJava プラットフォームのバージョンを使用しています。
PaperCut Ver.14.x 以前のバージョンを使用しているお客様は、最新のJavaのバージョンが含まれる最新のバージョンへアップグレードしてください。
‘Poodle’ (CVE-2014–3566)
Q: PaperCut はSSL 3.0 ”Poodle” (CVE-2014–3566)の脆弱性の影響はありますか?
A: 攻撃者は、SSL 3.0 を使う暗号化通信において、リクエスト送信を繰り返し試み、暗号化通信の一部を解読する恐れが発生します。
また攻撃者は、TLS/SSL のバージョンをダウングレードさせる可能性があります。
典型的な例として、攻撃者は偽のWi-Fi スポットから非セキュアのWebページにJavaScript攻撃を実行する場合があります。
最近発生したHearBleed の脆弱性とは異なり、Poodle はスタンド・アローン攻撃にサーバをさらすことはありません。
SSL 3.0 は、現在はTLSに取って代わられた旧式の暗号化プロトコルです。
通常は、Webサーバとクライアントの両方が最近のTLSプロトコルが使用できない場合のみ使用されています。
最近ではこのような利用は少なくなってきています。
例えば、ユーザがInternet Explore 6 以降の最新のブラウザを利用できない場合などです。
PaperCutサーバへHTTPS接続する場合、クライアントが許可する場合は常にTLSを使用します。
しかしクライアントがTLSをサポートしていない場合、SSL3.0 がネゴシエートされます。
PaperCutをご利用いただいている一部のカスタマーは、
PaperCutサーバがSSL3.0 の着信接続を受け入れることを完全に防ぐことを要望されています。
最新のPaperCut (PaperCut MF 14.2 build 28942, PaperCut NG/PaperCut MF 14.3 build (29819))以降を使用することにより
SSL3.0の着信を防ぐことができます。
下記の設定によりSSLv3の着信を防ぐことができます。
1. PaperCut のインストール・フォルダから「server.properties」をメモ帳で開いてください。
C:\Programme Files\PaperCut NG\server\server.properties
2. 次の行を追記してください。
server.ssl.protocols=TLSv1.2,TLSv1.1,TLSv1
3. 「server.properties」を上書き保存して閉じてください。
4. サービス「PaperCut Application Server」を再起動してください。
【注記】
PaperCut のポートを「TCP 443」を使用している場合、特別なインストーラが必要となります。弊社までご連絡ください。
また、多数の複合機(コピー機)の機種が混在している環境の場合、必ず検証を行ってください。
複合機の機種によってはすべてのTLSのバージョンをサポートしていない場合があります。
大抵の複合機はTLS v1.0をサポートしています。しかし古いタイプの複合機の場合、SSL3.0が必要な機種もあります。
‘Heartbleed’ (CVE-2014–0160)
Q: PaperCut はOpenSSLのHearbleed のバグの影響がありますか?
A: 最近のHeartbleed バグのニュース(CVE-2014–0160) が発表されましが、
PaperCut NG, MF, Plus は、OpenSSLを使用していないため、Hearbleed の問題による影響がないことを確認しています。
「PaperCut.com」も影響がないバージョンのOpenSSLを使用しているため、Hearbleedのバグの影響はありません。
注記: 別紙「【補足資料】SSL_HTTPSキーの生成方法」でOpen SSL ユーティリティについて触れていますが、
これはキーと証明書を結合するために使用するだけのため、Hearbleedの影響はありません。
Hearbleedのバグに関する問題の詳細は次のサイトを参照してください: http://heartbleed.com/
‘PrintNightmare’ (CVE-2021–1675, CVE-2021–34527)
Q: PaperCutはWindows Print Spoolerの特権昇格の脆弱性の影響はありますか? (CVE-2021–1675, CVE-2021–34527)
A: 現在Microsoft社からセキュリティ脆弱性パッチが提供されています。
Print Spoolerサービスが稼働しているすべてのWindowsサーバにセキュリティ脆弱性パッチを適用することを強く推奨します。
詳細は下記ページを参照してください。
‘KB5005408’ (CVE-2021–33764) - スマート カード認証によって印刷エラーと
スキャン エラーが発生する可能性がある
Q: PaperCutはMicrosoft更新プログラム「KB5005408」の影響はありますか?
A: Microsoft社はKB5005408(スマート カード認証によって印刷エラーとスキャン エラーが発生する可能性がある)の記事を公開しています。
PaperCutは、Java仮想マシン経由でデバイスとの接続を自ら管理するため、
すべてのTLS接続とネゴシエーションは、Windowsを経由せず、PaperCut Java VMと直接行われます。
つまり、Microsoft社の方式を採用されているサードパーティ製ソフトウェアがインストールされていない限り、
この更新プログラムはPaperCutやそれに組み込まれたデバイスに影響を与えません。
注意事項として、本番環境に更新プログラムを適用する前に、テストデバイスとテストアプリケーション・サーバで検証を行うことを推奨します。
'Log4Shell' - RCE in log4j (CVE-2021–44228)
Q: PaperCutはApache log4jのリモートコード実行の脆弱性の影響はありますか?
A: 影響あります。詳細は下記ページを参照してください。
Log4j 1.2 SocketServer (CVE-2019–17571)
Q: PaperCutはLog4j 1.2 Socket Serverの脆弱性の影響はありますか?
A: 影響ありません。
PaperCut製品はSocketServer機能を使用していないため、この脆弱性による攻撃を受ける可能性はありません。
Ghost script vulnerabilities
Q: PaperCutはGhost Scriptの脆弱性の影響はありますか?
A: 影響あります。
CVE-2019–14869, CVE-2019–14817, CVE-2019–14813, CVE-2019–14812, CVE-2019–14811, CVE-2019–10216,
CVE-2020–16302, CVE-2020–16303, CVE-2020–16304が含まれます。
詳細は「GhostScriptの脆弱性のPaperCutへの影響について」を参照してください。
XML外部エンティティの不適切な制限(CVE-2022–0839)
Q: PaperCutはCVE-2022–0839の影響はありますか?
A: 影響あります。ただし、PaperCutはliquibaseの変更ログを管理するためにXMLではなくYAMファイルを使用しています。
これらの変更ログファイルは、信頼できる入力ファイルとみなされ、この問題を利用するためには、攻撃者はすでにサーバへ侵入していることが必要です。
この脆弱性を完全に排除するため、今後のリリースで修正済みliquibaseのバージョンにアップグレードすることを検討しています。
SpringShell (CVE-2022–22965)
Q: PaperCutはSpringShell/Spring4Shellによる影響はありますか?
A: 2022年3月20日に公開されたこの重大な脆弱性は、Spring Frameworkに影響します。
この脆弱性の詳細はSpring社のブログを参照してください。
【Spring Framework RCE, Early Announcement】
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Spring社のブログ記事で説明されている概念実証(POC)エクスプロイトにはApache Derbyが必要です。
PaperCut製品はSpring Frameworkを使用していますが、Tomcatは使用していません。
(ただしPaperCut Plus/MFでApache Jettyを使用しています。)
しかし、PaperCut社ではPaperCut製品で使用されているサードパーティ製品で将来的に悪用される可能性があると考えております。
お客様に影響しないよう、最新のリリースで積極的に修正を行っています。
PaperCut Plus/MF Ver.21.2.10, 20.1.6, 19.2.7 で追加のコード修正が行われました。詳細は下記記事をご参照ください。
PaperCut Plus/MF のセキュリティの脆弱性 (PC-18750)
Q: PC-18750 とは何ですか?
A: PaperCut Plus/MF ver.19.2.1から21.2.8 までのリリースにおいて、
深刻度の高いセキュリティの問題があるという脆弱性の報告を受けています。
PaperCut MFおよび一部のPaperCut Plusにはセキュリティの脆弱性が存在します。
(CVSS V3.1 Score 8.1, AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
PaperCut社はPaperCutプライマリ・サーバとサイト・サーバを19.2.7(ver.19.xを使用している場合)、
20.1.6(ver.20.xを使用している場合)、21.2.10(もしくは最新バージョン)にアップグレードすることを強く推奨しています。
注記: この問題はPaperCut Hive, PaperCut Pocket, プリンタ展開, モビリティ・プリント, クライアント・ソフトウェアには影響ありません。
この脆弱性の詳細は下記サイトを参照してください。
サイキックシグネチャーの脆弱性 (CVE-2022–21449)
Q: PaperCutはJAVAの脆弱性(CVE-2022–21449) の影響がありますか?
A: 影響ありません。PaperCut Plus/MFはこの特定の脆弱性の影響を受けないJava Ver.11を使用しています。
● versions 21.x, 20.x - Java 11.0.9.1
● version 19.x - Java 11.0.2
この脆弱性はPaperCut Plus/MFに影響しませんが、予防措置および他のすべての修正の恩恵をうけるため、
Ver.22.0でJREをアップデートする予定です。
Text4Shell / TextShell (CVE-2022–42889)
Q: PaperCutはApache Commons Text vulnerability(CVE-2022–4288)の影響がありますか?
A: 影響ありません。
この重大な脆弱性(CVE-2022-42889) はApache Commons Text クラスで発見されました。
PaperCut社はPaperCut Plus/MFのいずれも攻撃に対して脆弱でないことを確認しています。
【Apache Commons】https://commons.apache.org/proper/commons-text/security.html
・ 上記Apache Commonsのサイトに記載されているように、
この攻撃は脆弱なクラス「org.apache.commons.text.StringSubstitutor」がインストールに含まれていることに依存しています。
PaperCut Plus/MFにはこのクラスが搭載されていないため、この攻撃を成功させることはできません。
・ さらに安心なことに、PaperCut製品では攻撃に必要な機能はデフォルトで無効化されています。
PaperCut製品をスキャンする際、脆弱性フラグは立ちますか?
脆弱性スキャナに依存します。スキャナは「handlebars-4.1.2.jar」を検出し脆弱であると判断する可能性があります。
このファイルにフラグが立てられたとしても、上記の理由により攻撃は成功しません。
将来的に変更はありますか?
上述した通り、PaperCut製品のインストールでは攻撃はできませんが、
「handlebars.java」のバージョン4.3.1以降にアップグレードすることを検討しています。
このバージョンにはApache Commonsのサイトに記載されている修正が含まれています。
OpenSSL Vulnerability
Q: PaperCutは2022年11月のOpenSSLの脆弱性の影響はありますか?
A: 影響ありません。
この脆脆弱性(CVE-2022-3602 と CVE-2022-3786)は、OpenSSLライブラリで発見されたものです。
PaperCut社はPaperCut Plus/MFのいずれも攻撃に対して脆弱性がないことを確認しています。
・ PaperCut Plus/MFはOpenSSLを使用していないため、これら製品は攻撃に対して脆弱ではありません。
PaperCut製品をスキャンする際、脆弱性フラグは立ちますか?
他のタスクにOpenSSLライブラリを使用しているかどうかに依存します。
したがって、OpenSSLを自分でインストールしたかどうかにより異なります。
OpenSSLは、PaperCut Plus/MFのインストールの一部としてパッケージに含まれていません。
しかし、モビリティ・プリントの証明書とプリンタ展開の証明書の説明では、OpenSSLを使用して証明書を管理する機能について紹介しています。
モビリティ・プリントやプリンタ展開の証明書の管理のためにOpenSSLを個別にインストールしている場合、
OpenSSLアドバイザリに記載されいているように、OpenSSLツールにパッチを適用することを推奨します。
【OpenSSLアドバイザリ】
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
将来的に変更はありますか?
上述した通り、PaperCut製品には影響がなく、また製品の変更は計画していません。
-------------------------------
http://www.papercut.com/kb/Main/CommonSecurityQuestions
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。