2024年3月14日木曜日

PaperCut MF/Plus セキュリティ情報 (March 2024)

 

PaperCut MF/Plusのセキュリティアップグレードがリリースされました。

修正情報は「脆弱性の修正方法(サマリー)」を参照してください。
最終更新日: 2024314 AEDT


概要

このセキュリティ情報は、2024年3月8日に公表した事前通知に続くものです。
複数の脆弱性を修正したPaperCut Plus/MFのセキュリティに重点を置いた最新のリリース(23.0.7) の概要を説明します。
このリリースで取り上げた問題は、内部レビュー、外部関係者とのペネトレーションテスト、
セキュリティ業界の研究者達と構築した強力な関係を活用を含む、継続的なセキュリティ向上プログラムの一部です。

PaperCut社は、すべての組織がこのセキュリティメンテナンスバージョンにアップグレードすることを推奨します。
さらに、PaperCut MF/Plusサーバがインターネットからアクセス可能(例: ポートが開放されている)であったり、
ネットワーク内に信頼できないアクターが存在する環境(例: 大規模な大学) では、アップグレードを実施することを強く推奨します。



脆弱性の修正方法(サマリー)

標準的なオーバーザトップ方式でアップデートを実施します。これが最も簡単な方法です。
セキュリティメンテナンス版のインストーラは下記サイトよりダウンロードして頂けます。

ダウンロード後、解凍の上インストーラを実行してください。
このインストーラでPaperCut MF/Plusのプライマリ・サーバ、
セカンダリ・サーバ、サイト・サーバ、Webプリント・サンドボックスのアップデートが実施できます。

※ダウンロードはURLをコピーしブラウザのアドレスバーに貼り付けて実行してください。
※PaperCutサーバがmacOSやLinuxOSの場合、別途弊社までご連絡ください。

【PaperCut MF】

 ■ ver.23.0.7:
   http://cosy100.sakura.ne.jp/download/PCMF/PCMF23.0.7.zip

 ■ ver.22.1.5: 
   http://cosy100.sakura.ne.jp/download/PCMF/PCMF22.1.5.zip

 ■ ver.21.2.14: 
   http://cosy100.sakura.ne.jp/download/PCMF/PCMF21.2.14.zip

 ■ ver.20.1.10: 
   http://cosy100.sakura.ne.jp/download/PCMF/PCMF20.1.10.zip

【PaperCut Plus】

 ■ ver.23.0.7: 
   http://cosy100.sakura.ne.jp/download/PCPL/PCPL23.0.7.zip

 ■ ver.22.1.5: 
   http://cosy100.sakura.ne.jp/download/PCPL/PCPL22.1.5.zip

 ■ ver.21.2.14: 
   http://cosy100.sakura.ne.jp/download/PCPL/PCPL21.2.14.zip

 ■ ver.20.1.10: 
   http://cosy100.sakura.ne.jp/download/PCPL/PCPL20.1.10.zip


注記:さらに詳細な情報は後述する「脆弱性の修正方法(詳細)」を参照してください。


セキュリティ問題への対応

CVE詳細CVSS評価とベクター
CVE-2024-1222

PaperCut MF/PlusのAPIに対する不適切な
アクセス制御

(Trend Micro社の「ZDI-CAN-22812」としても知られています)		この脆弱性は、PaperCut MF/Plusサーバ上で特権の昇格を許可する可能性があります。この脆弱性は、誤って設定されたAPIエンドポイントに対して
悪意を持って形成されるAPIリクエストを使用します。
これは、PaperCut MF/Plus APIエンドポイントのごく一部のみ適用
されます。

注記: PaperCutはサブコンポーネントの自動更新(自動更新が有効に
なっている場合)により、すでに緩和策をプッシュしています。
8.6

CVSSv3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
CVE-2024-1654

PaperCut MF/Plusでの不正な書き込み操作

(Trend Micro社の「ZDI-CAN-22328」としても知られています)		この脆弱性は、管理画面への認証済みアクセス件を持つ攻撃者が、
リモートでのコード実行につながる不正な書き込み操作が実行できる
可能性があります。
この脆弱性を悪用するには、管理者ユーザのみが利用できる情報が
必要です。
7.2

CVSSv3 Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2024-1882

PaperCut MF/Plusにおけるサーバサイド・
リソース・インジェクション

(Trend Micro社の「ZDI-CAN-23481」としても知られています)		この脆弱性は、ジョブ・チケット取得のモジュール(デフォルトでは
インストールされていません)をインストールしている組織のみ
適用されます。

この脆弱性により、管理画面へのアクセスがすでに認証されている
攻撃者が、SYSTEM(Windows) またはpapercutユーザ(macOS/Linux) の
コンテキストでPaperCutアプリケーション・サーバ上で
コードが実行できるようになります。

注記: PaperCutはサブコンポーネントの自動更新
(自動更新が有効になっている場合)により、
すでに緩和策をプッシュしています。
7.2

CVSSv3 Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2024-1884

PaperCut MF/Plusのサーバサイド・リクエスト・フォージェリ

(Trend Micro社の「ZDI-CAN-23116」としても知られています)		この脆弱性は、攻撃者はHTTPリクエストをPaperCut MF/Plus
アプリケーション・サーバから来たように見せかけることができます。
これは、サーバサイド・リクエスト・フォージェリ(SSRF)として
知られており、攻撃者の身元を隠すために使用される可能性があります。

注記: PaperCutはサブコンポーネントの自動更新
(自動更新が有効になっている場合)により、
すでに緩和策をプッシュしています。
6.5

CVSSv3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVE-2024-1883

PaperCut MF/Plusの反射型XSS

(Trend Micro社の「ZDI-CAN-23254」としても
知られています)		これは、PaperCut MF/Plusアプリケーション・サーバの
クロスサイト・スクリプティングの脆弱性を反映したものです。
攻撃者は、スクリプトを含む悪意のあるURLを作成することで、
この弱点を悪用することができます。
何も知らないユーザがこの悪意のあるリンクをクリックすると、
機密性、完全性、可用性が限定的に失われる可能性があります。
(例: PaperCut管理画面のダッシュボード上の情報をスクレイピング)
6.3

CVSSv3 Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2024-1223

PaperCut MF/Plusの不正な承認制御

(Trend Micro社の「ZDI-CAN-22165」としても
知られています)		この脆弱性は、組み込みデバイスのAPIから一部の情報を列挙するために
使用される可能性があります。
ある程度の偵察と環境とトークンに関する知識が必要です。

PaperCut MF/Plusアプリケーション・サーバは、
デバイスのIPアドレスを制御することにより、
この問題を軽減するように構成することができます。
6.5

CVSSv3 Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
CVE-2024-1221

PaperCut MF/PlusのLinuxとmacOS上のAPIに対する不適切なアクセス制御

(Trend Micro社の「ZDI-CAN-23074」としても
知られています)		この脆弱性は、Windows上で実行されているPaperCut MF/Plusの
アプリケーション・サーバには適用されません。
この脆弱性により、Linux/macOSのPaperCut MF/Plusサーバ上の
ファイルが、APIエンドポイントに対して特別に形成されたペイロードを
使用して公開される可能性があります。

注記: PaperCutはサブコンポーネントの自動更新
(自動更新が有効になっている場合)により、すでに緩和策を
プッシュしています。
3.1

CVSSv3 Vector: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
その他
(先制的なセキュリティ改善)		このリリースには、多くの先制的なセキュリティ改善とディフェンス層の
追加も含まれています。
これらの改善には、コード監査、ペンテスト、セキュリティ・レビューの
結果として実施されました。
またこの変更は、セキュリティ強化の取り組みに沿って行われました。
N/A


謝辞

PaperCut社は、ZDIプログラムの一環としてTrendMicro者と協力している研究者に感謝に意を表します。
TrendMicro社とPaperCut社は、過去12カ月協力して、PaperCut製品のすべての研究とテストを責任を持って開示し、
共同でリリースするようにしてきました。



脆弱性の修正方法(詳細)

これらの手順は、このセキュリティ情報に記載しているすべての脆弱性を修正する最も簡単な方法を反映しています。

1. この記事に記載しているPaperCut MF/Plusの修正バージョン(23.0.7以降, 22.1.5, 21.2.14, 20.1.10) のいずれかにアップデートしてください。
  修正バージョンはPaperCutアプリケーション・サーバとサイト・サーバに適用する必要があります。

2. ジョブ・チケット取得を使用している場合、
  ジョブ・チケットが自動的にVer. 1.0.3123以降にアップデートされているかを確認してください。

3. セカンダリ・サーバ上でUniversal Print Connectorを使用している場合、
  それらコネクタのバージョンが自動的に2024-02-28-2055 以降にアップデートされているかを確認してください。



FAQ

Q. 脆弱性対応バージョンはどこで入手できますか?

A. セキュリティメンテナンス版のインストーラは下記サイトよりダウンロードして頂けます。
  ダウンロード後、解凍の上インストーラを実行してください。
  このインストーラでPaperCut MF/Plusのプライマリ・サーバ、セカンダリ・サーバ、サイト・サーバ、
  Webプリント・サンドボックスのアップデートが実施できます。

  ※ ダウンロードはURLをコピーしブラウザのアドレスバーに貼り付けて実行してください。
  ※ PaperCutサーバがmacOSやLinuxOSの場合、別途弊社までご連絡ください。

  【PaperCut MF】

   ■ ver.23.0.7:
     http://cosy100.sakura.ne.jp/download/PCMF/PCMF23.0.7.zip

   ■ ver.22.1.5:
     http://cosy100.sakura.ne.jp/download/PCMF/PCMF22.1.5.zip

   ■ ver.21.2.14:
     http://cosy100.sakura.ne.jp/download/PCMF/PCMF21.2.14.zip

   ■ ver.20.1.10:
     http://cosy100.sakura.ne.jp/download/PCMF/PCMF20.1.10.zip


  【PaperCut Plus】

   ■ ver.23.0.7:
     http://cosy100.sakura.ne.jp/download/PCPL/PCPL23.0.7.zip

   ■ ver.22.1.5:
     http://cosy100.sakura.ne.jp/download/PCPL/PCPL22.1.5.zip

   ■ ver.21.2.14:
     http://cosy100.sakura.ne.jp/download/PCPL/PCPL21.2.14.zip

   ■ ver.20.1.10:
     http://cosy100.sakura.ne.jp/download/PCPL/PCPL20.1.10.zip


Q. アップグレード方法を教えてください。

A. PaperCut アプリケーション・サーバとサイト・サーバのアップグレード手順は下記サイトを参照してください。

  【PaperCutMF/Plus アップグレード手順】
   https://cosy500-papercut-2.blogspot.com/2013/04/papercut_2634.html


Q. アップグレードする前に注意すべきことはありますか?

A. ありません。アップグレードは一般的なオーバーザトップ方式です。


Q. これらの脆弱性に対する軽減策はありますか?

A. 推奨する軽減策はありません。
  PaperCut MF/Plusの最新バージョンにアップグレードすることを推奨します。

  このアップグレードはすべてのPaperCutを使用している組織に推奨します。
  特に、PaperCutアプリケーション・サーバがインターネットからアクセス可能(例: ポートが開放されている)な組織や、
  ネットワーク内に信頼できないアクターを持つ組織(例: 大規模な大学) はアップグレードを強く推奨します。


Q. 古いバージョンを使用しています。
  Ver.23.0.7にアップグレードする前にそれより古いバージョンにアップグレードする必要がありますか?

A. 不要です。このリリースにはこれまでにリリースされたすべての修正が含まれます。
  PaperCut MF/Plusの以前のバージョンからこのリリースに直接アップグレードすることができます。


Q. バージョン20.x もしくは 21.x もしくは 22.x を使用しています。
  運用上の理由で23にアップグレードできません。これら古いバージョンのHotfixは利用できますか?

A. 利用できます。PaperCut MF/Plusの下記のバージョンのアップグレードが利用いただけます。

  ・ 23.0.7
  ・ 22.1.5
  ・ 21.2.14
  ・ 20.1.10


Q. これら脆弱性について詳細情報は入手できますか?

A. n-day攻撃の可能性から組織を守るため、
  PaperCut社は2024年3月14日にすべての必要な修正プログラムを含むメンテナンス版をリリースするまで具体的な詳細を公開しませんでした。
  この記事が、PaperCut社が公開している脆弱性に関する情報の全容となります。

  n-day攻撃が発生する一般的な方法は、悪意のある第三者が公開情報ソースから情報を収集します。
  情報を公開しないことにより、n-day攻撃を実行しようとする悪意のある攻撃者に対して最大限のリードタイムを組織に与えます。

  現時点では既知のアクティブなエクスプロイトはありません。
  2024年3月8日の事前通知は、組織が予定外のアップデートを計画できるようにするための手段でした。



セキュリティ通知

PaperCutセキュリティ・メーリングリストの登録方法について記載します。

PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、
セキュリティ関連のニュースやアップデートをいち早く入手することができます。

【Subscribe to security notifications】
 https://www.papercut.com/contact/security/#subscribe



更新履歴

日時更新/アクション
2024年03月08日
(ASDT)		セキュリティメンテナンスバージョンのリリース予定のご連絡メールを送信
2024年03月08日
(ASDT)		PaperCut MF/Plusの管理画面内にセキュリティメンテナンスバージョンの
リリース予定の通知が表示されるようにしました。
2024年03月14日
(ASDT)		このセキュリティ情報の記事をアップデートしました。
2024年03月14日
(ASDT)		PaperCut MF/Plusのメンテナンス版を正式リリースしました。

- 23.0.7
- 22.1.5
- 21.2.14
- 20.1.10
2024年03月14日
(ASDT)		Security notifications listの購読者にセキュリティ情報のアップデートに
関するメールを送信しました。


-------------------------

https://www.papercut.com/kb/Main/Security-Bulletin-March-2024




投稿者 時刻:

0 件のコメント :

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 ( Atom )