|
このセキュリティ情報では、 アップグレードする場合、アップグレード・チェックリストも確認してください。 【PaperCut 22.1.1アップグレード・チェックリスト】 https://cosy500-papercut-2.blogspot.com/2023/06/papercut-mf-plus-2211.html 2023年3月のセキュリティ情報をレビューする場合は、下記ページを参照してください。 【PaperCut Plus/MF 脆弱性の報告】
このページは新しい情報を入手次第アップデートします。
|
概要
PaperCut MF/Plusの一連のセキュリティ強化アップデートの最初のアップデートをリリースしました。
改善の大部分は、先手を打って攻撃対象領域を減少し、セキュリティ防御のレイヤを増やすことに重点を置いています。
PaperCut Software社は、現在のセキュリティ環境を考慮し、
PaperCut MF/Plusを強化するために、この1ヶ月ほど多くの外部研究者が協力してくださったことを心より感謝しております。
このリリースは、社内のアプリケーション・セキュリティ・アーキテクチャのレビュー、継続的な侵入の検証、
社内外のリサーチャーによるセキュリティ監査から得た情報を元に作成しています。
弊社ではすべてのお客様がこのリリースにアップグレードすることを推奨しています。
セキュリティ強化対策
Ver.22.1.1では、デフォルトのセキュリティを向上させ、
さらなるセキュリティ・レイヤを提供するために設計されたセキュリティ強化機能が含まれています。
特に、攻撃者がPaperCut MF/Plusを使って連鎖的に攻撃を開始することを困難にするための設定と新しいデフォルト値を追加しています。
これらには、一部のコンポーネントの設定をWeb管理画面から分離するための新しい設定ファイル「security.properties」の導入が含まれます。
● プリント・スクリプト/デバイス・スクリプトの設定: スクリプトから実行ファイルや安全でないコードを実行する機能など
● カスタム認証プロバイダや他のプラグインで使用する外部実行可能ファイルを実行するためのアクセス許可を明示的に付与
大半のお客様は、アップグレード後に何も設定する必要はありません。
スクリプト機能を使用しているお客様は、アップグレード・チェックリストに記載されている設定手順の追加が必要な場合があります。
詳細はPaperCutのリリースヒストリーを参照してください。
対応するCVE
今回のリリースでは、セキュリティ研究者から報告された2つの脆弱性にも対応しています。
● CVE-2023–31046
● CVE-2023–2533
PaperCut Software社は、
この1か月間、現在のセキュリティ環境を考慮しPaperCut MF/Plusを強化するために多くの外部研究者が協力して下さったことを心より感謝しております。
これらを特定し弊社に報告するために尽力してくださった、
Aura Information Security の Chris McCurley氏と Fluid Attacks の Carlos Andrés Bello氏に特に感謝しております。
CVE-2023–31046 - パストラバーサルの脆弱性
当社のアプリケーション・サーバとサイト・サーバにパストラバーサルの脆弱性が確認されました。
特定の条件下で、攻撃者がサーバのファイル・システムに読み取り専用でアクセスできる可能性がありました。
推奨事項: PaperCut MF/Plus ver.22.1.1以降にバージョンアップ
この脆弱性はCVSSスコア7.2と評価されています:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/RL:O/RC:C)
CVE-2023–2533 - クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性
PaperCut MF/Plusにクロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性が確認されています。
特定の条件下で、攻撃者がセキュリティ設定を変更したり、任意のコードを実行したりすることができる可能性がありました。
ターゲットが現在のログイン・セッションを持つ管理者である場合、悪用される可能性があります。
これを悪用すると、管理者を騙して特別に細工された悪意のあるリンクをクリックさせ、不正な変更につながる可能性があります。
推奨事項: PaperCut MF/Plus ver.22.1.1以降にバージョンアップ
この脆弱性はCVSSスコア7.9と評価されています:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H/E:F/RL:O/RC:C/CR:M/IR:M/AR:M/MAV:N/MAC:L/MPR:H/MUI:R/MS:C/MC:H/MI:H/MA:H)
PaperCut製品の影響状況
影響のあるPaperCut製品は次の通りです。
推奨するアクション
1. 「22.1.1 アップグレード・チェックリスト」を一読してください。
このチェックリストは、変更されたすべてのセキュリティ設定とお客様の特定の環境に必要な推奨アクションの詳細を記載しています。
2. PaperCut MF/Plus Ver.22.1.1にアップグレードしてください。
「PaperCut Plus/MF アップグレード手順」とお客様の通常の変更プロセスを参考に必要な設定変更を実施してください。
3. PaperCut社の「Security Notification」メーリング・リストに登録し、最新の情報を入手するようにしてください。
FAQ
Q. 脆弱性修正版のアップグレード方法とアップグレード版のインストーラの入手方法は?
A. 通常のアップグレード手順に従ってください。アップグレード手順の詳細は下記ページを参照してください。
アップグレード版が必要な場合、販売店もしくはCOSY社までお問合せください。
アップグレード手順は通常のアップグレード手順と同じです。
Q. どの製品がこれらの脆弱性の影響がありますか?
A. 前述した「PaperCut製品の影響状況」の「脆弱性のあるバージョン」と「修正済バージョン」を参照してください。
Q. アップグレードを実施する前に気を付けるべき事項はありますか?
A. あります。
このアップデートをインストールした後、使用している一部の機能で追加の設定が必要になる場合があります。
アップグレードする前に「22.1.1のアップグレード・チェックリスト」をお読みください。
Q. 古いバージョンを使用しています。
Ver.22.1.1にアップグレードする前にそれより古いバージョンにアップグレードする必要がありますか?
A. 不要です。
このリリースにはこれまでにリリースされたすべての修正が含まれます。
PaperCut MF/Plusの以前のバージョンからこのリリースに直接アップグレードすることができます。
Q. Version 20.xまたは21.xを使用していますが、運用上の都合で22.xにアップグレードすることができません。
これらの古いバージョンに対応したHotfixはありますか?
A. 上記のセキュリティ強化の改善はVersion22以降のみ利用可能です。
PaperCut社はPaperCut環境を22.1.1以降にアップグレードすることを推奨します。
version 22.1.1以降にアップグレードできない場合、
現在サポートしている旧バージョンについても下記の表に記載しているアップデートを実施しています。
提供している修正版ビルトの概要:
各バージョンのリリースの詳細はリリースヒストリーをご一読ください。
セキュリティ通知
PaperCutセキュリティ・メーリングリストの登録方法について記載します。
PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、
セキュリティ関連のニュースやアップデートをいち早く入手することができます。
【Subscribe to security notifications】
更新履歴
-------------------------
https://www.papercut.com/kb/Main/SecurityBulletinJune2023
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。