PaperCut Plus/MF Ver.19.2.1 から 21.2.8 までのリリースにおいて、
深刻度の高いセキュリティの問題があると脆弱性の報告を受けています。
この深刻度の高い脆弱性は、認証されていない攻撃者がPaperCutアプリケーション・サーバ上でリモートコード実行(RCE)を行うことを可能にします。
これは、攻撃に使用されるIPアドレスが「許可されたデバイスIPアドレス」(<オプション> - <拡張> - <セキュリティ>) の設定で許可されている場合のみ可能です。
現時点ではこの脆弱性を悪用した形跡はありません。
|
【注記】 この脆弱性は、Ver.19.2.7,
20.1.6, 21.2.10で修正されます。また、この修正はVer.22.0.0にも含まれる予定です。
|
PaperCut製品の影響状況
注記:「外部ハードウェアの有効化」はPaperCut管理画面の<オプション> - <拡張> -「外部ハードウェアの統合」エリアから設定します。
FAQ
Q. この修正を適用することで何か影響はありますか?
A. メンテナンス版にはRhinoのJavaScriptエンジンのアップグレードバージョンが含まれます。
そのため、プリント・スクリプトとデバイス・スクリプトはサンドボックス化されるようになりました。
プリント・スクリプトもしくはデバイス・スクリプトを使用している場合、
これらの変更の詳細は別記事「プリント・スクリプト、デバイス・スクリプト、拡張スクリプト機能の有効化」を参照してください。
なお、その他の機能については影響なく使用できます。
Q. アップグレード版のインストーラの入手方法は?
A. アップグレード版が必要な場合、販売店もしくはCOSY社までお問合せください。
アップグレード手順は通常のアップグレード手順と同じです。
Q. PaperCut RCE(PC-18750) のCVSSスコアを教えてください。
A. 「深刻度が高い」です。(CVSS V3.1 Score 8.1, AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Q. アップグレードしない場合の対応策はありますか?
A. PaperCut管理画面の<オプション> - <拡張> - 「セキュリティ」エリアから「許可されたデバイスIPアドレス」を設定することにより、
このタイプの攻撃の実行を阻止することができます。
許可するデバイスの個々のIPアドレスを設定するか、許可するサブネット範囲を設定してください。
【注記】「許可されたデバイスIPアドレス」として設定できる文字数は1000文字までです。
【重要】
Spring4Shellの脆弱性に対応するため、Ver.19.2.7,20.1.6,21.2.10へアップグレードすることを強く推奨します。
Q. これらのビルドはどのバージョンのlog4jを使用していますか?
A.
・ 19.2.7: log4j 1.x を使用 (影響なし)
・ 20.1.6: log4j 1.x を使用 (影響なし)
・ 21.2.10: log4j 2.17.1 を使用 (修正版)
Log4Shellの脆弱性の影響については「Log4Shell(CVE-2021-44228)のPaperCutへの影響について」を参照してください。
Q. PaperCut Ver.18.x 以前のメンテナンス版のリリースはありますか?
A. ありません。PaperCut Ver.19.x以降のメンテナンス版にバージョンアップしてください。
-------------------------
https://www.papercut.com/kb/Main/PC-18750
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。