|
このセキュリティ情報は、PaperCut Plus/MF Ver.23.0/1で改善されたセキュリティについて説明します。
その他のセキュリティ脆弱性およびセキュリティ情報については 「セキュリティ脆弱性情報と一般的なセキュリティの質問」ページを参照してください。 2024年9月27日更新 CVE-2023-6006 が再評価されました。 この再評価は新規に発見された脆弱性ではなく、PaperCut MF/Plus Ver.23.0.1の時点で修正されています。 |
セキュリティ問題への対応
特権昇格の脆弱性 (CVE-2023-6006)
PaperCut社ではこの脆弱性を報告してくださったTrend Micro社のセキュリティ研究者
(Trend Micro社のAmol Dosanjh氏およびTrend Micro Zero Day Initiativeの Michael DePlante氏)に感謝申し上げます。
この脆弱性は、ローカルの攻撃者は影響を受けるPaperCut Plus/MFのインストールに対する権限を昇格することができます。
攻撃者がこの脆弱性を悪用するためには、ターゲットとなるシステム上で権限の低いコードを実行する機能を取得する必要があります。
潜在的な悪用の可能性として、次のすべてを満たされる必要があります。
● PaperCutアプリケーション・サーバ(Ver.23.0.1より前のバージョン)がWindowsプラットフォーム上で動作している場合
(macOSとLinuxはこの脆弱性の影響はありません)
● 悪意のある攻撃者は、アプリケーション・サーバのローカル・ハードディスク・ドライブへの書き込みアクセス権を有している場合
● 悪意のある攻撃者は、標的となるサーバ上で低特権コードを実行する権限を有している場合
● GhostTrapがインストールされていない状態で、プリント・アーカイブ機能が有効化されている場合
この脆弱性はCSVVスコア7.8[1]と評価されています:
CVSSv3 Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
[1] 2024年9月にスコア7.8に再評価されました。
注記: TrendMicro社では、この件に関する追加情報を公開する予定です。
TrendMicroのアドバイザリでは、PaperCut NGについてのみ言及されているようですが、
PaperCut社はPaperCut Plus(NG)とMFの両方で影響があることを確認しています。
このセキュリティ情報のリリースに関する注記
2023年10月31日にPaperCut Plus/MF Ver.23.0.1 をリリースしました。
このセキュリティ情報とCVE-2023-6006に関する情報は2023年11月14日に公開されました。
この延期は、お客様が脆弱性のないバージョンへのアップグレードを一足先に行えるようにするためです。
PaperCut製品の影響状況
FAQ
Q. 脆弱性対応版のアップグレード方法とアップグレード版のインストーラの入手方法は?
A. 通常のアップグレード手順に従ってください。アップグレード手順の詳細は下記ページを参照してください。
【PaperCutPlus/MF アップグレード手順】
http://cosy500-papercut-2.blogspot.com/2013/04/papercut_2634.html
アップグレード版が必要な場合、販売店もしくはCOSY社までお問合せください。
アップグレード手順は通常のアップグレード手順と同じです。
Q. アプリケーション・サーバがリスクにさらされているかどうかはどうすれば確認できますか?
A. 下記の条件すべてに該当するPaperCut Plus/MFのアプリケーション・サーバ:
● PaperCutアプリケーション・サーバ(Ver.23.0.1より前のバージョン)がWindowsプラットフォーム上で動作している場合
(macOSとLinuxはこの脆弱性の影響はありません)
● 悪意のある攻撃者は、アプリケーション・サーバのローカル・ハードディスク・ドライブへの書き込みアクセス権を有している場合
● 悪意のある攻撃者は、標的となるサーバ上で低特権コードを実行する権限を有している場合
● GhostTrapがインストールされていない状態で、プリント・アーカイブ機能が有効化されている場合
Q. プリント・アーカイブ機能を使用しているかどうか、どのように見分ければよいですか?
A. PaperCut管理画面の<オプション>-<全般>-<プリント・アーカイブ>から確認できます。
● 「プリント・アーカイブの有効化」にチェックがついていない場合:プリント・アーカイブは使用しておらず、この脆弱性の影響はありません。
● 「プリント・アーカイブの有効化」にチェックがついている場合:プリント・アーカイブは使用しており、
「Q アプリケーション・サーバがリスクにさらされているかどうかはどうすれば確認できますか?」に記載している他の条件すべてに当てはまる場合、
脆弱性を悪用される可能性があります。
Q. プリント・アーカイブ機能を使用している場合、GhostTrapがインストールされているかどうかを確認する方法を教えてください。
A. PaperCut管理画面の<オプション>-<全般>-<プリント・アーカイブ>のステータスの「プレビューの形式」に表示されている内容から確認できます。
● 「プレビューの形式」に「PDF, PostScript」のみが表示されている場合、GhostTrapがインストールされていません。
この場合、脆弱性の影響はありません。
● 「プレビューの形式」に「EMF, PCL5, PCL6, PDF, PostScript, XPS」が表示されている場合、
GhostTrapがインストールされています。
この場合、「Q アプリケーション・サーバがリスクにさらされているかどうかはどうすれば確認できますか?」に記載している
他の条件すべてに当てはまる場合、脆弱性を悪用される可能性があります。
Q. 脆弱性の軽減方法を教えてください。
A. 「Q アプリケーション・サーバがリスクにさらされているかどうかはどうすれば確認できますか?」に記載しているすべての条件に当てはまる場合、
この脆弱性を軽減するためのいくつかの選択肢があります。
1. アプリケーション・サーバのバージョンをPaperCut Ver.23.0.1以降にアップグレードする
2. Version 23.0.1移行にアップグレードできず、プリント・アーカイブを無効化することでできるのであれば、リスクは軽減できます。
プリント・アーカイブの無効化、PaperCut管理画面の<オプション>-<全般>-<プリント・アーカイブ>の
「プリント・アーカイブの有効化」のチェックを外してください。
3. Version 23.0.1移行にアップグレードできず、プリント・アーカイブを使用し続けたい場合、
GhostTrapを下記ディレクトにインストールしてください:
C:\Program Files\GhostTrap
GhostStrapのインストール方法は別紙「プリント・スクリプト設定ガイド」を参照してください。
4. Version 23.0.1移行にアップグレードできず、GhostTrapなしでプリント・アーカイブを使用し続けたい場合、
アプリケーション・サーバのファイル・システム上にディレクトリ(C:\gs\bin)を作成し、
管理者以外のすべてのアカウントの書き込み権限を削除してください。
5. 上記1から4が環境に見合わない場合、「pc-pdl-to-image.exe」をダウンロードしてアプリケーション・サーバ上で置き換えてください。
手動の置き換え手順は次のQAを参考にしてください。
Q. 「pc-pdl-to-image.exe」バイナリの手動の置き換え方法を教えてください。
A. この修正は、前のQ「脆弱性の軽減方法を教えてください。」に記載しているオプションの5しか実装できない場合にのみ適用してください。
注記: PaperCut Ver.23.0.1以降を使用している場合、この修正を適用する必要はありません。
1. 下記サイトより「pc-pdl-to-image.exe」をダウンロードしてください。
https://cdn.papercut.com/files/general/pc-pdl-to-image.zip
2. 「pc-pdl-to-image.zip」を解凍し、「pc-pdl-to-image.exe」バイナリを取り出してください。
(SHA256チェックすサムを確認したい場合: 5be6a8a817a3fc30fb4a56bff527b51a452d8d84ae1d3d5632d83d2674bcbbb6)
3. アプリケーション・サーバの次のフォルダに移動し、フォルダ内にある「pc-pdl-to-image.exe」を
「pc-pdl-to-image.bak」にリネームしてください:
<app-path>\server\bin\win
4. ダウンロードした「pc-pdl-to-image.exe」を「<app-path>\server\bin\win」にコピーしてください。
注記1: 変更を反映させるためにサービス「PaperCut Application Server」を再起動する必要はありません。
注記2: Ver.23.0.1より前のバージョンをアップグレードした場合(例: Ver.22.1.3から22.1.4へアップグレード)、この軽減策を再度適用する櫃王があります。
置換したバイナリは修正が適用されていないものに置き換わるためです。
注記3: Ver.23.0.1以降にアップグレードする場合、バイナリの手動の置き換えは不要です。
注記4: 修正済み実行ファイルには次が含まれます。
● CVE-2023-39471 の修正
● アーカイブされたPostScriptスプールファイルのサムネイル画像生成に失敗する問題を修正
Q. どの製品がこれらの脆弱性の影響がありますか?
A. 前述した「PaperCut製品の影響状況」を参照してください。
Q. Version 20.x、21.x、22.xを使用していますが、運用上の都合で23.xにアップグレードすることができません。
これらの古いバージョンに対応したHotfixはありますか?
A. 上記のセキュリティ強化の改善はVersion23のみ利用可能です。
Version 23.0.1以降にアップグレードできない場合、
前述した「Q 脆弱性の軽減方法を教えてください。」の5つのオプションのいずれかのオプションを適用してください。
Q. アップグレードを実施する前に気を付けるべき事項はありますか?
A. あります。このアップデートをインストールした後、使用している一部の機能で追加の設定が必要になる場合があります。
アップグレードする前に「22.1.1のアップグレード・チェックリスト」をお読みください。
Q. 古いバージョンを使用しています。
Ver.23.0.1にアップグレードする前にそれより古いバージョンにアップグレードする必要がありますか?
A. 不要です。このリリースにはこれまでにリリースされたすべての修正が含まれます。
PaperCut MF/Plusの以前のバージョンからこのリリースに直接アップグレードすることができます。
Q. どうしてPaperCutは既に公表されているCVEを遡って更新したのですか?
A. PaperCut社はセキュリティ問題の報告を受けるとその脆弱性を慎重に評価し、最初に提供された例に基づいてスコアを付けます。
この問題を報告した研究者と広範に話し合った結果、ほとんどのPaperCutのインストールで、
デフォルトのWindowsサーバ構成により、コンソール・ログイン・アクセスのみに制限されることに同意しました。
しかし、この脆弱性は意図的な操作、誤った構成、ユーザがサーバにアクセスできるようにするその他の脆弱性を通じて管理者以外のユーザが
WindowsにホストされているPaperCutアプリケーション・サーバのローカル・コンソールにログインすることを許可しているお客様にも
リスクをもたらす可能性があります。
これらの情報に基づき、このCVEは「必要な特権(PR)」を「低」、「攻撃の複雑さ」を「低」として再評価されました。
これは管理者がホスト・サーバ上の標準的なユーザにローカル・ログイン・アクセスを許可した最悪のシナリオを反映したものです。
この再評価は新しい攻撃経路によるものではなく、PaperCut MF/Plus 23.0.1で修正されています。
セキュリティ通知
PaperCutセキュリティ・メーリングリストの登録方法について記載します。
PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、
セキュリティ関連のニュースやアップデートをいち早く入手することができます。
【Subscribe to security notifications】
https://www.papercut.com/contact/security/#subscribe
更新履歴
-------------------------
https://www.papercut.com/kb/Main/Security-Bulletin-November-2023/
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。