2023年7月26日水曜日

PaperCut MF/Plus セキュリティ情報 (July 2023)

 

このセキュリティ情報では、PaperCut MF/Plus Ver.22.1.3で対応されたセキュリティの改善について
説明します。アップグレードする場合、アップグレード・チェックリストも確認してください。


PaperCut 22.1.1アップグレード・チェックリスト

  

このページは新しい情報を入手次第アップデートします。

最終更新日: 7 Aug. 10:00 AEST

 


エグゼクティブ用概要 / tl;dr

PaperCut MF/Plus Ver.22.1.3は、
前回Ver.22.1.1のセキュリティ・ハードニング・リリースに続き、
社内のペンテスト、コード監査、情報セキュリティ・コミュニティの業界をリードするパートナーとの連携を含む、
セキュリティ・アップリフト・プログラムにより特定された脆弱性に対応するパッチが含まれています。
弊社ではすべてのお客様がこのリリースにアップグレードすることを推奨しています。

PaperCut社はこの数ヶ月間、PaperCutの継続的なセキュリティ強化にご協力くださった情報セキュリティ・コミュニティに謝意を申し上げます。
特に、Naveen Sunkavally氏とHorizon3のチーム、Trend Micro社の研究者、Tenable, Inc.の研究者に感謝します。


セキュリティ問題への対応

サービス拒否の可能性のある問題 (CVE-2023-3486)

サーバのIPアドレスに直接アクセスできる認証されていない攻撃者が、
標的のディレクトリに任意のファイルをアップロードできる手段を報告して下さった、Tenable社のセキュリティ研究者に感謝いたします。
これは、サーバのハードディスクを一杯にし、PaperCutサーバが期待通りに動作しないようにするために使用される可能性があります。

この脆弱性はCSVVスコア7.4と評価されています:
CVSSv3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H/E:P/RL:O/RC:C

注記: Tenable社は今後数週間のうちに追加情報を公開する予定です。。


認証されたAPIにおける連鎖したパス・トラバーサル

Horizon3.ai のセキュリティ・リサーチ・チームは、複雑なセキュリティ・リサーチを実施し、
任意のファイルの読み書きに悪用される可能性のあるパス・トラバーサル脆弱性を2つ特定しました。
サーバIPへの直接アクセスが必要です。
Horizon3.aiチームはPaperCut社と協力してこの問題を緩和し修正内容を検証しました。

PaperCut開発チームは、NaveenとHorizon3.aiの研究チームに感謝いたします。
問題の発見と実証には、複数の複雑なステップを連鎖させる必要があったため、
彼らの洗練された研究手法に敬意を表します。
これまでPaperCutに適用した研究の中でも、最も綿密なものです。

この脆弱性はCSVVスコア8.4と評価されています:
CVSSv3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H/E:P/RL:O/RC:C

注記: Horizon3.aiは今後数週間のうちに追加情報を公開する予定です。
Update: Horizon3.aiは、2023年8月5日に開示情報をリリースしました:
CVE-2023-39143: PaperCut Path Traversal/File Upload RCE Vulnerability


サードパーティ・ライブラリの最新情報 (ZDI-CAN-21013)

PostgreSQLデータベースをサポートするために使用されるサードパーティの依存関係に脆弱性が見つかりました。
(CVE-2022-21724)
すでにPaperCutサーバの管理者アクセス権を持っている人が、このエクスプロイトを使用
してさらに権限を得る可能性があります。
TrendMicro社のチームがPaperCutがこのサードパーティ依存の問題の影響を受ける可能性があることを示してくださったことを感謝いたします。

注記: TrendMicro社は今後数週間のうちに追加情報を公開する予定です。


その他セキュリティの向上

コード検査、ペンテスト、セキュリティ・レビューの結果、多くの専制的なセキュリティの改善を実施しました。
変更は当社のセキュリティ向上イニシアティブに沿って行われました。



PaperCut製品の影響状況

上記すべての問題はPaperCut MF/Plusのアプリケーション・サーバに影響します。
下記の製品には影響はありません。

CVE-2023-3486
サービス拒否の可能性のある問題		CVE-2023-39143
認証されたAPIにおける連鎖した
パス・トラバーサル		ZDI-CAN-21013
サードパーティ・ライブラリの最新情報
(CVE-2022-21724)
影響のあるバージョンPaperCut Plus/MF Ver.22.1.3より前の
すべてのバージョン
およびすべてのプラットフォーム		PaperCut Plus/MF
Windows版 Ver.22.1.3より前の
すべてのバージョン		PaperCut Plus/MF Ver.22.1.3より
前のすべてのバージョン
およびすべてのプラットフォーム
修正済みバージョンVer.22.1.3以降Ver.22.1.3以降Ver.22.1.3以降
影響のあるPaperCut Plus/MFの
コンポーネント		アプリケーション・サーバ
(プライマリ・サーバ)		アプリケーション・サーバ
(プライマリ・サーバ)		アプリケーション・サーバ
(プライマリ・サーバ)
PaperCut Plus/MF製品
およびコンポーネントに
影響のないバージョン		・ PaperCut Plus/MF site servers
・ PaperCut Plus/MF secondary servers
  (Print Providers)
・ PaperCut Plus/MF Direct Print Monitors
  (Print Providers)
・ PaperCut MF MFD Embedded Software
・ PaperCut Hive
・ PaperCut Pocket
・ Print Deploy
・ Mobility Print
・ PaperCut User Client software
・ PaperCut Multiverse
・ Print Logger
・ Job Ticket		・ PaperCut Plus/MF site servers
・ PaperCut Plus/MF secondary servers
  (Print Providers)
・ PaperCut Plus/MF Direct Print Monitors
  (Print Providers)
・ PaperCut MF MFD Embedded Software
・ PaperCut Hive
・ PaperCut Pocket
・ Print Deploy
・ Mobility Print
・ PaperCut User Client software
・ PaperCut Multiverse
・ Print Logger
・ Job Ticket		・ PaperCut Plus/MF site servers
・ PaperCut Plus/MF secondary servers
  (Print Providers)
・ PaperCut Plus/MF Direct Print Monitors
  (Print Providers)
・ PaperCut MF MFD Embedded Software
・ PaperCut Hive
・ PaperCut Pocket
・ Print Deploy
・ Mobility Print
・ PaperCut User Client software
・ PaperCut Multiverse
・ Print Logger
・ Job Ticket




FAQ

Q. 脆弱性対応版のアップグレード方法とアップグレード版のインストーラの入手方法は?

A. 通常のアップグレード手順に従ってください。アップグレード手順の詳細は下記ページを参照してください。

  【PaperCutPlus/MF アップグレード手順

  アップグレード版が必要な場合、販売店もしくはCOSY社までお問合せください。
  アップグレード手順は通常のアップグレード手順と同じです。


Q. どの製品がこれらの脆弱性の影響がありますか?

A. 前述した「PaperCut製品の影響状況」を参照してください。


Q. アップグレードを実施する前に気を付けるべき事項はありますか?

A. あります。このアップデートをインストールした後、使用している一部の機能で追加の設定が必要になる場合があります。
  アップグレードする前に「22.1.1のアップグレード・チェックリスト」をお読みください。


Q. 古いバージョンを使用しています。
  Ver.22.1.3にアップグレードする前にそれより古いバージョンにアップグレードする必要がありますか?

A. 不要です。このリリースにはこれまでにリリースされたすべての修正が含まれます。
  PaperCut MF/Plusの以前のバージョンからこのリリースに直接アップグレードすることができます。


Q. Version 20.xまたは21.xを使用していますが、運用上の都合で22.xにアップグレードすることができません。
  これらの古いバージョンに対応したHotfixはありますか?

A. 上記のセキュリティ強化の改善はVersion22のみ利用可能です。
  PaperCut社はPaperCut環境を22.1.3以降にアップグレードすることを推奨します。

  version 22.1.3以降にアップグレードできない場合、
  現在サポートしている旧バージョンについても下記の表に記載しているアップデートを実施しています。

  提供している修正版ビルトの概要:

Version注記
22.1.1・ セキュリティ強化の改善を含む
・ CVE-2023–31046とCVE-2023–2533の修正を含む
21.2.12・ CVE-2023–31046とCVE-2023–2533の修正を含む
・ 追加のセキュリティ強化の改善は含みません
20.1.8・ CVE-2023–2533の修正を含む(CVE-2023–31046はversion21.2.0以降のみ影響があります)
・ 追加のセキュリティ強化の改善は含みません
Version 19.x以前・ Version19.0以前のバージョンはサポートが終了しています

  各バージョンのリリースの詳細はリリースヒストリーをご一読ください。



セキュリティ通知

PaperCutセキュリティ・メーリングリストの登録方法について記載します。

PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、セキュリティ関連のニュースやアップデートをいち早く入手することができます。

【Subscribe to security notifications】 https://www.papercut.com/contact/security/#subscribe



更新履歴

日時更新/アクション
2023年07月25日
(ASET)		PaperCut MF/Plus Version 22.1.3を一般リリース(セキュリティ改善および脆弱性修正を含む)
2023年07月25日
(ASET)		このセキュリティ情報の記事を公開
2023年07月26日
(ASET)		PaperCutセキュリティ通知購読者リストにメール通知を送信しました。
2023年07月31日
(ASET)
認証済みAPIにおける連鎖パストラバーサルの脆弱性情報を更新し、CVE IDを追記しました: CVE-2023-39143
2023年08月07日
(ASET)		認証済みAPIにおける連鎖パストラバーサルの脆弱性(CVE-2023-39143)を更新し、Windows OSにインストールされたPaperCut MF/NGのみに影響することを明記しました。
2023年08月10日
(ASET)		認証済みAPIにおける連鎖パストラバーサルの脆弱性(CVE-2023-39143)を更新しました。



-------------------------

https://www.papercut.com/kb/Main/securitybulletinjuly2023/





投稿者 時刻:

0 件のコメント :

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 ( Atom )