2023年9月19日火曜日

PaperCut セキュリティ情報 (Aug2023)

 

このセキュリティ情報は、PaperCut モビリティ・プリント・バージョン1.0.3582で対応されたセキュリティの改善について説明します。

 

その他のセキュリティ脆弱性およびセキュリティ情報については「セキュリティ脆弱性情報と一般的なセキュリティの質問」ページを参照してください。

 


エグゼクティブ用概要 / tl;dr

GhostScriptの脆弱性がニュースで明らかになり、モビリティ・プリントにCSRFの可能性のある問題が見つかりました。
この問題はモビリティ・プリント・サーバの自動アップデート機能により修正されています。


GhostScriptのセキュリティの明確化

最近GhostScriptの脆弱性が話題になっています。
GhostTrapを使用している場合はGhostScriptの悪用からかなり保護されています。

なぜなら、2012年にPaperCut社のエンジニアリング・チームがGhostScriptの脆弱性につながる可能性のあるバグをいくつか発見し、
当時のGhostScriptチームに報告しました。
セキュリティに重点を置く弊社の考えで、GhostTrapという新しいオープンソース・プロジェクトを立ち上げました。
GhostTrapは、GhostScriptコードに存在する可能性のある問題から保護するために、
Google Chromeから最高のサンドボックス・テクノロジーを導入しています。
PaperCutのすべての製品とWindowsプラットフォームのセットアップ・ドキュメントでは、
GhostTrapが使用されており、最近のエクスプロイトをレビューし、
GhostTrapのサンドボックス対策が期待通りの保護を提供しているかを確認します。

詳細は「GhostScriptの脆弱性のPaperCutへの影響について」を参照してください。

PaperCut社はベストプラクティスに従い、近い将来にGhostTrapをアップデートする予定ですが、
緊急対応する必要はないものです。
LinuxおよびmacOSサーバを実行している組織で組み込みのGhostScriptを使用している場合、
OSのシステム・アップデートが適用されていることを確認することを推奨します。


セキュリティ問題への対応

モビリティ・プリントにおけるCSRF攻撃の可能性に対応 (CVE-2023-2508)

モビリティ・プリントの自動アップデートを有効化している場合、すでに修正プログラムは配布され適用されているはずです。
モビリティ・プリントの自動アップデートを無効化している場合、モビリティ・プリントのバージョンを確認してください。

FluidAttacks社、特にセキュリティ研究者であるCarlos Bello氏に謝意を申し上げます。
この問題は、悪意のある第三者が認証された管理者に送信する送信するリンクを細工し、
モビリティ・プリントの設定を変更させる可能性があります。

この脆弱性はCSVVスコア4.8と評価されています:
CVSSv3 Vector: AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N

注記: FluidAttacks社は今後数週間のうちに追加情報を公開する予定です。


PaperCut製品の影響状況

このCVEはPaperCutモビリティ・プリントのみ影響します。他の製品には影響はありません。


FAQ

Q. 脆弱性対応版のアップグレード方法とアップグレード版のインストーラの入手方法は?

A. モビリティ・プリント・サーバは、デフォルトでは自動アップデートします。
  モビリティ・プリント管理画面(http://[server]:9163/admin)にログインすると、
  モビリティ・プリント・サーバのバージョンが確認できます。
  もしくは、PaperCut管理画面の <印刷の管理> - <モバイル&BYOD> の「モビリティ・プリント」エリアからもバージョンの確認ができます。

  モビリティ・プリント・サーバの自動アップデートを無効化している場合、
  もしくはモビリティ・プリント・サーバが外部インターネット接続されていない場合は
  手動でモビリティ・プリント・サーバをアップデートする必要があります。

  最新版のモビリティ・プリント・サーバのインストーラは下記サイトよりダウンロードできます。

  【PaperCut Mobility Print 最新版インストーラ(Windows)】
   https://www.papercut.com/products/ng/mobility-print/download/server/win/

  ダウンロード後、インストーラを実行してください。ウィザードが表示されますので、[次へ]を押下していくとアップデートができます。

  アップデート手順でご不明な点がある場合、弊社までご連絡ください。


Q. どの製品がこれらの脆弱性の影響がありますか?

A. PaperCutモビリティ・プリント・サーバのみ影響があります。


セキュリティ通知

PaperCutセキュリティ・メーリングリストの登録方法について記載します。

PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、
セキュリティ関連のニュースやアップデートをいち早く入手することができます。

【Subscribe to security notifications】 https://www.papercut.com/contact/security/#subscribe


更新履歴

日時更新/アクション
2023年08月17日
(ASET)		PaperCut モビリティ・プリント・サーバVer.1.0.3582をリリース
(セキュリティ改善および脆弱性修正を含む)
2023年08月28日
(ASET)		このセキュリティ情報の記事を公開

 

-------------------------

https://www.papercut.com/kb/Main/SecurityBulletinAugust2023/

 

 

 



投稿者 時刻:

0 件のコメント :

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 ( Atom )