Zabezpečení produktů

U čteček karet přeznačených společností NT-ware (původně vyvinuty a poskytnuty společností rf IDEAS) byl zjištěn potenciální problém týkající se jedinečnosti průkazů totožnosti, který byl zveřejněn pod označením CVE-2024-1578.

Přestože jsme neobdrželi žádné zprávy o zneužití, doporučujeme, abyste přešli na odkaz s bezpečnostními doporučeními a prostudovali si je.

Podrobnosti o chybách v zabezpečení, jejich zmírňování a odstraňování lze nalézt zde:

Bezpečnostní doporučení: u několika čteček karet MiCard PLUS došlo ke ztrátě znaků

V softwaru uniFLOW Online byla zjištěna potenciální náchylnost k ohrožení při registraci zařízení, která byla zveřejněna pod názvem CVE-2024-1621.

Přestože jsme neobdrželi žádné zprávy o zneužití, doporučujeme, abyste přešli na odkaz s bezpečnostními doporučeními a prostudovali si je.

Podrobnosti o chybách v zabezpečení, jejich zmírňování a odstraňování lze nalézt zde:

Bezpečnostní doporučení: Registrace zařízení je náchylná ke kompromisům

U některých tiskáren a laserových tiskáren určených do malých kanceláří byla zjištěna chyba zabezpečení týkající se přetečení bufferu v procesu protokolu WSD.

Podrobnosti o chybách v zabezpečení, jejich zmírňování a odstraňování lze nalézt zde:

CP2024-002 Odstraňování/zmírňování chyb zabezpečení multifunkčních tiskáren a laserových tiskáren do malých kanceláří – Canon PSIRT.

U některých multifunkčních a laserových tiskáren do malých kanceláří jsme zaznamenali několik chyb v zabezpečení.

Kvůli těmto chybám v zabezpečení by neověřený vzdálený útočník mohl v zařízení spustit libovolný kód, pokud by produkt byl připojen přímo k internetu bez použití směrovače (kabelového nebo Wi-Fi). Útočník by také přes internet mohl vystavit produkt útoku typu odepření služeb (DoS).

<Přetečení vyrovnávací paměti>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Dosud jsme neobdrželi žádné zprávy o zneužití těchto chyb zabezpečení. Pro zvýšení bezpečnosti produktu však doporučujeme našim zákazníkům, aby si nainstalovali nejnovější firmware dostupný pro postižené modely uvedené níže. Zákazníkům také doporučujeme, aby si na produktech nastavili soukromou IP adresu a vytvořili síťové prostředí s firewallem nebo kabelovým či Wi-Fi routerem, které omezí přístup k síti.

Další podrobnosti o zabezpečení produktů připojených k síti naleznete v části Zabezpečení produktu.

Budeme i nadále pokračovat v posílení našich bezpečnostních opatření, abychom zajistili, že produkty Canon budete moci používat bez obav. V případě, že chyby v zabezpečí zaznamenáme i na jiných produktech, tento článek aktualizujeme.

Zkontrolujte postižené modely.

Navštivte webovou stránku Podpory, kde naleznete firmware a informace o podpoře softwaru a produktů.

Společnost Canon by ráda poděkovala následujícím výzkumníkům za nalezení těchto chyb v zabezpečení:

• CVE-2023-6229: Nguyen Quoc (Viet) za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2023-6230: Anonym za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2023-6231: Tým Vietze za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2023-6232: ANHYDRIT za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2023-6233: ANHYDRIT za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2023-6234: Tým Vietze za spolupráce s organizací Zero Day Initiative společnosti Trend Miro
• CVE-2024-0244: Connor Ford (@ByteInsight) ze společnosti Nettitude za spolupráce s organizací Zero Day Initiative společnosti Trend Miro

Podrobnosti o chybách v zabezpečení, jejich zmírňování a odstraňování lze nalézt zde:

CP2023-003 Zmírnění/odstranění chyb zabezpečení u inkoustových tiskáren (domácí a kancelářské/velkoformátové) – Canon PSIRT

Popis

Pro nástroj IJ Network Tool (dále jen software) byly identifikovány dvě chyby zabezpečení. Kvůli těmto chybám v zabezpečení by útočník připojený ke stejné síti jako tiskárna mohl získat citlivé informace o nastavení připojení tiskárny k síti Wi-Fi pomocí softwaru nebo odkazem na jeho komunikaci.

CVE/CVSS

CVE-2023-1763: Získání citlivých informací o nastavení připojení tiskárny k síti Wi-Fi pomocí softwaru. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Základní skóre: 6,5.

CVE-2023-1764: Získání citlivých informací o nastavení připojení tiskárny k síti Wi-Fi prostřednictvím komunikace se softwarem. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Základní skóre: 6,5.

Postižené produkty

Chyba CVE-2023-1763 se týká následujících modelů: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezdrátový tiskový server WP-20

Windows Network Tool: 

Nelze použít

Chyba CVE-2023-1764 se týká následujících modelů: 

Mac Network Tool: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezdrátový tiskový server WP-20

Windows Network Tool: 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezdrátový tiskový server WP-20

Postižené verze

Chyba CVE-2023-1763 se týká následujících modelů: 

Mac Network Tool: 

Verze 4.7.5 a starší (podporované operační systémy: OS X 10.9.5 – macOS 13) 

Verze 4.7.3 a starší (podporované operační systémy: OS X 10.7.5-OS X 10.8)

Windows Network Tool: 

Nelze použít

Chyba CVE-2023-1764 se týká následujících modelů: 

Mac Network Tool: 

Verze 4.7.5 a starší (podporované operační systémy: OS X 10.9.5 – macOS 13) 

Verze 4.7.3 a starší (podporované operační systémy: OS X 10.7.5-OS X 10.8)

Windows Network Tool: 

Verze 3.7.0

Zmírňování/odstraňování

CVE-2023-1763: 

Tuto chybu zabezpečení lze vyřešit použitím tiskáren s důvěryhodným síťovým připojením. Informace o „zabezpečení produktu připojeného k síti“ naleznete zde. 

Pro nástroj Mac Network Tool si stáhněte aktualizované verze softwaru, které byly vydány. 

Postup aktualizace softwaru pro inkoustové tiskárny MAXIFY a PIXMA na verzi 4.7.6 (podporované operační systémy: OS X 10.9.5 – macOS 13) nebo verzi 4.7.4 (podporované operační systémy: OS X 10.7.5 – OS X 10.8) naleznete na stránce pro stažení softwaru Podpora spotřebních produktů. Vyberte model, kartu Software a nástroj IJ Network Tool nebo aplikaci Wi-Fi Connection Assistant.

CVE-2023-1764: 

Tuto chybu zabezpečení lze vyřešit použitím tiskáren s důvěryhodným síťovým připojením. Informace o „zabezpečení produktu připojeného k síti“ naleznete zde.

Zásluhy

Společnost Canon by ráda poděkovala Národnímu centru pro kybernetickou bezpečnost v Nizozemsku za oznámení těchto chyb zabezpečení.

U některých multifunkčních, laserových a inkoustových tiskáren pro kanceláře/malé kanceláře jsme zaznamenali několik chyb v zabezpečení.

Kvůli těmto chybám v zabezpečení by neověřený vzdálený útočník mohl v zařízení spustit libovolný kód, pokud by produkt byl připojen přímo k internetu bez použití směrovače (kabelového nebo Wi-Fi). Útočník by také přes internet mohl vystavit produkt útoku typu odepření služeb (DoS). Mohl by také nainstalovat libovolné soubory kvůli nesprávnému ověření uživatelského rozhraní dálkového ovládání.

<Přetečení vyrovnávací paměti>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<Problémy při počáteční registraci správců systému v protokolech ovládání>
CVE-2023-0857

<nesprávné ověření uživatelského rozhraní dálkového ovládání>
CVE-2023-0858

<Instalace libovolných souborů>
CVE-2023-0859

Dosud jsme neobdrželi žádné zprávy o zneužití těchto chyb zabezpečení. Pro zvýšení bezpečnosti produktu však doporučujeme našim zákazníkům, aby si nainstalovali nejnovější firmware dostupný pro postižené modely uvedené níže. Zákazníkům také doporučujeme, aby si na produktech nastavili soukromou IP adresu a vytvořili síťové prostředí s firewallem nebo kabelovým či Wi-Fi routerem, které omezí přístup k síti.

Další podrobnosti o zabezpečení produktů připojených k síti naleznete v části Zabezpečení produktu.

Budeme i nadále pokračovat v posílení našich bezpečnostních opatření, abychom zajistili, že produkty Canon budete moci používat bez obav. V případě, že chyby v zabezpečí zaznamenáme i na jiných produktech, tento článek aktualizujeme.

Zkontrolujte postižené modely.

Navštivte webovou stránku Podpory, kde naleznete firmware a informace o podpoře softwaru a produktů.

Postup aktualizace firmwaru pro inkoustové tiskárny MAXIFY, PIXMA a imagePROGRAF naleznete v online příručce.

Společnost Canon by ráda poděkovala následujícím výzkumníkům za nalezení těchto chyb v zabezpečení:

• CVE-2023-0851: Namnp, Le a Tran Hai Tung z výzkumného týmu ANHTUD za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0852: R-SEC, Nettitude za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0853: DEVCORE za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0854: DEVCORE za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0855: Chi Tran za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0856: Tým Viettel za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2023-0857: Alex Rubin a Martin Rakhmanov
• CVE-2023-0858: Alex Rubin a Martin Rakhmanov
• CVE-2023-0859: Alex Rubin a Martin Rakhmanov

V softwaru uniFLOW Server a serveru uniFLOW Remote Print Server byla zjištěna potenciální chyba zabezpečení dat.

Přestože jsme neobdrželi žádné zprávy o zneužití, doporučujeme, abyste upgradovali implementace vašeho zařízení na nejnovější verzi.

Podrobnosti o chybách v zabezpečení, jejich zmírňování a odstraňování lze nalézt zde:

Bezpečnostní oznámení: Chyba zabezpečení technické podpory MOM – podpora softwaru NT-ware

U laserových tiskáren Canon a multifunkčních zařízení pro malé kanceláře jsme zaznamenali několik případů chyb v zabezpečení přetečení bufferu.

Přestože jsme neobdrželi žádné zprávy o zneužití, doporučujeme, abyste upgradovali firmware vašeho zařízení na nejnovější verzi.

Tato chyba v zabezpečení naznačuje, že pokud je produkt připojen přímo k internetu bez použití kabelového nebo Wi-Fi routeru, mohla by třetí strana na internetu spustit libovolný kód nebo produkt vystavit útoku typu odepření služeb (DoS).

Nedoporučujeme se připojovat přímo k internetu – použijte soukromou IP adresu v zabezpečené privátní síti nakonfigurované prostřednictvím brány firewall nebo kabelového/Wi-Fi routeru. Informace o „zabezpečení produktu připojeného k síti“ naleznete na webu www.canon-europe.com/support/product-security

Budeme i nadále pokračovat v posílení našich bezpečnostních opatření, abychom zajistili, že produkty Canon budete moci používat bez obav. V případě, že chybu v zabezpečí zaznamenáme i na jiných produktech, tento článek aktualizujeme.

Zkontrolujte postižené modely.

Navštivte webovou stránku Podpory, kde naleznete firmware a informace o podpoře softwaru a produktů.

Společnost Canon by ráda poděkovala následujícímu výzkumníkovi za nalezení této chyby v zabezpečení.

• CVE-2022-43608: Angelboy (@scwuaptx) z výzkumného týmu DEVCORE za spolupráce s organizací Zero Day Initiative společnosti Trend Micro

U laserových tiskáren Canon a multifunkčních zařízení pro malé kanceláře jsme zaznamenali několik případů chyb v zabezpečení přetečení bufferu. Související CVE jsou: CVE-2022-24672, CVE-2022-24673 a CVE-2022-24674. Níže je uveden seznam postižených modelů.

Přestože jsme neobdrželi žádné zprávy o zneužití, upgradujte firmware zařízení na nejnovější verzi.

Tato chyba v zabezpečení naznačuje možnost, že pokud je produkt připojen přímo k internetu bez použití kabelového nebo Wi-Fi routeru, může třetí strana na internetu spustit libovolný kód nebo produkt vystavit útoku typu odepření služeb (DoS).

Nedoporučujeme se připojovat přímo k internetu – použijte soukromou IP adresu v zabezpečené privátní síti nakonfigurované prostřednictvím brány firewall nebo kabelového/Wi-Fi routeru. Informace o „zabezpečení produktu připojeného k síti“ naleznete na webu www.canon-europe.com/support/product-security

Budeme i nadále pokračovat v posílení bezpečnostních opatření, abychom zajistili, že produkty Canon budete moci používat bez obav. V případě, že chybu v zabezpečí zaznamenáme i na jiných produktech, tento článek okamžitě aktualizujeme.

Laserové tiskárny a multifunkční zařízení pro malé kanceláře, které vyžadují protiopatření:

ImageRUNNER 1133, 1133A, 1133iF3
ImageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
ImageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i -SENSYS LBP214dw, LBP215x
i -SENSYS LBP223dw, LBP226dw, LBP228x
i -SENSYS LBP233dw a LBP236dw
i -SENSYS LBP251dw, LBP252dw a LBP253x
i -SENSYS LBP611Cn, LBP613Cdw
i -SENSYS LBP621Cw, LBP623Cdw
i -SENSYS LBP631Cw, LBP633Cdw
i -SENSYS LBP653Cdw, LBP654x
i -SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i -SENSYS MF443dw MF445dw, MF446x, MF449x
i -SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i -SENSYS MF542x, MF543x
i -SENSYS MF552dw a MF553dw
i -SENSYS MF6140dn, MF6180dw
i -SENSYS MF623Cn, MF628Cw
i -SENSYS MF631Cn, MF633Cdw, MF635Cx
i -SENSYS MF641Cw, MF643Cdw a MF645Cx
i -SENSYS MF651Cw, MF655Cdw a MF657Cdw
i -SENSYS MF724Cdw, MF728Cdw, MF729Cx
i -SENSYS MF732Cdw, MF734Cdw, MF735Cx
i -SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i -SENSYS MF8230Cn, MF8230Cw
i -SENSYS MF8540Cdn, MF8550Cdn a MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 450Z
WG7540, 7550, 7550F, 7550Z

Navštivte webovou stránku Podpory, kde naleznete firmware a informace o podpoře softwaru a produktů.

Společnost CANON by ráda poděkovala následujícím osobám za nalezení této chyby v zabezpečení.

• CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1) a Thomas Jeunet (@cleptho) ze společnosti @Synactiv za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2022-24673: Angelboy (@scwuaptx) z výzkumného týmu DEVCORE za spolupráce s organizací Zero Day Initiative společnosti Trend Micro
• CVE-2022-24674: Nicolas Devillers (@nikaiw), Jean-Romain Garnier a Raphael Rigo (@_trou_) za spolupráce s organizací Zero Day Initiative společnosti Trend Micro

Aplikace Spring MVC nebo Spring WebFlux spuštěná na JDK 9+ může být náchylná ke vzdálenému spuštění kódu (RCE) prostřednictvím datové vazby. Konkrétní zneužití vyžaduje, aby aplikace běžela nasazená na Tomcat jako WAR. Pokud je aplikace nasazena jako spustitelný soubor JAR ve Spring Boot (což je výchozí nastavení), není náchylná ke zranitelnosti. Povaha této chyby zabezpečení je však obecnější a mohou existovat i jiné způsoby, jak ji zneužít. Škodlivý soubor může způsobit prakticky cokoli: únik dat nebo tajemství, spuštění jiného softwaru, jako je ransomware, těžit kryptoměny, zavést zadní vstup nebo vytvořit základ pro vstup dále do sítě.

https://cpp.canon/products-technologies/security/latest-news/

Cílem této stránky je vypsat produkty Canon Production Printing (CPP), které mohou být ovlivněny následujícími zprávami CVE:

• CVE-2022-22947
• CVE-2022-22950
• CVE-2022-22963
• CVE-2022-22965

V níže uvedené tabulce je uveden stav chyby v zabezpečení pro hardwarové a softwarové komponenty produkčních tiskáren Canon. Pravidelně tuto stránku kontrolujte a informujte se o aktualizovaném stavu.

Posuzované produkty a jejich status

CTS – systémy pro tisk na jednotlivé listy a tonery / inkoustový archový tisk

Produkty	Stav
Produkty založené na tiskovém serveru PRISMAsync	Neovlivněno
Řada varioPRINT 140	Neovlivněno
Řada varioPRINT 6000	Neovlivněno
Řada varioPRINT i-series	Neovlivněno
Řada varioPRINT iX	Neovlivněno
Servisní řídicí stanice (SCS) pro řady VPi300 a VPiX	Neovlivněno
Tablet pro řadu VPi300 a VPiX	Neovlivněno
Simulátor PRISMAsync i300/iX	Neovlivněno
PRISMAprepare V6	Neovlivněno
PRISMAprepare V7	Neovlivněno
PRISMAprepare V8	Neovlivněno
PRISMAdirect V1	Neovlivněno
PRISMAprofiler	Neovlivněno
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Neovlivněno

PPP – produkty pro produkční tisk

Produkty	Stav
ColorStream 3×00 ColorStream 3x00Z	Neovlivněno
Colorstream 6000	Neovlivněno
ColorStream 8000	Neovlivněno
ProStream 1×00	Neovlivněno
Řada LabelStream 4000	Neovlivněno
ImageStream	Neovlivněno
JetStream V1 JetStream V2	Neovlivněno
VarioStream 4000	Neovlivněno
Řada VarioStream 7000	Neovlivněno
VarioStream 8000	Neovlivněno
PRISMAproduction Server V5	Neovlivněno
Hostitelské připojení PRISMAproduction	Neovlivněno
PRISMAcontrol	Neovlivněno
PRISMAspool	Neovlivněno
PRISMAsimulate	K dispozici je nová verze*
TrueProof	Neovlivněno
DocSetter	Neovlivněno
DPconvert	Neovlivněno

*Obraťte se na místního servisního zástupce společnosti Canon

LFG – velkoformátová grafika

Produkty	Stav
Řada Arizona	Zjišťuje se
Řada Colorado	Neovlivněno
ONYX HUB	Zjišťuje se
ONYX Thrive	Zjišťuje se
ONYX ProductionHouse	Zjišťuje se

TDS – systémy technických dokumentů

Produkty	Stav
Řada TDS	Neovlivněno
Řada PlotWave	Neovlivněno
Řada ColorWave	Neovlivněno
Scanner Professional	Neovlivněno
Driver Select, Driver Express, Publisher Mobile	Neovlivněno
Publisher Select	Neovlivněno
Konzola účtu	Neovlivněno
Repro Desk	Neovlivněno

Nástroje pro servis a podporu

Produkty	Stav
Dálkový servis	Neovlivněno

Byla potvrzena chyba zabezpečení při procesu generování klíče RSA v kryptografické knihovně používané v multifunkčních zařízeních pro podniky / malé kanceláře, laserových tiskárnách a inkoustových tiskárnách společnosti Canon. Úplný seznam dotčených produktů naleznete níže.

Rizikem této chyby zabezpečení je možnost, že z důvodu problémů při procesu generování dvojice klíčů RSA někdo odhadne soukromý klíč k veřejnému klíči RSA.
Pokud protokol TLS nebo IPSec využívá dvojici klíčů RSA generovaných kryptografickou knihovnou s touto chybou zabezpečení, může být tento veřejný klíč RSA převzat třetí stranou nebo může být dokonce zfalšován.

Dosud jsme neobdrželi žádné hlášení o incidentech souvisejících s touto chybou zabezpečení a uživatele ujišťujeme, že pracujeme na opravě firmwaru dotčených produktů

Pokud byla dvojice klíčů RSA vytvořena pomocí kryptografické knihovny s touto chybou zabezpečení, je nutné po aktualizaci firmwaru provést další kroky. V závislosti na dotčeném produktu proveďte kroky pro kontrolu klíče a níže popsané kroky k provedení nápravných opatření.

Produkty také nepřipojujte přímo k internetu, ale využijte bránu firewall, prostředí s kabelovým připojením nebo prostředí zabezpečené privátní sítě, pokud používáte směrovač sítě Wi-Fi. Dále nastavte soukromou IP adresu.

Podrobnosti naleznete v článku Zabezpečení produktů při připojení k síti.

Multifunkční zařízení pro podniky / malé kanceláře, laserové tiskárny a inkoustové tiskárny, u kterých je nutné provést tato opatření.

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
IR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i -SENSYS X 1238 II, i -SENSYS X 1238iF II
i -SENSYS X 1238P II, i -SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300, PRO-S1/PRO-200
ImagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P

Postup při kontrole a řešení problémů s klíčem u inkoustových tiskáren

Navštivte webovou stránku Podpory, kde naleznete firmware a informace o podpoře softwaru a produktů.

V tuto chvíli probíhá vyšetřování dopadu, který může mít chyba v zabezpečení „Log4j“ https://logging.apache.org/log4j/2.x/security.html na produkty Canon. Tento článek aktualizujeme, jakmile budeme znát nové informace.

V níže uvedené tabulce je uveden stav chyby v zabezpečení pro hardwarové a softwarové produkty. Tyto změny pravidelně kontrolujte.

Produkt	Stav/prohlášení
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Tato zařízení nejsou ovlivněna.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Sada operátora pro vzdálenou podporu • Služby doručení obsahu • Konfigurátor nastavení zařízení • Služba pro online hlášení Canon • Generátor objektů OS400 • Ovladač CQue • Ovladač SQue	Software není ovlivněn.
Canon Production Printing • Systémy PRISMA Cutsheet a Toner • Nepřetržitý tisk • Velkoformátová grafika • Systémy technických dokumentů	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Prohlášení Scan2x o chybě v zabezpeční Log4J – scan2x
Cirrato • Cirrato One • Cirrato Embedded	Není ovlivněno.
Compart • DocBridge Suite	Informace – Compart
Docspro • Import Controller • XML Importer • Email Importer • Knowledge Base • Universal Test Release • Advanced PDF Creator • Webservice Export Connector	Není ovlivněno.
Docuform • Mercury Suite	Není ovlivněno.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Není ovlivněno.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Genius MFP Canon Client	Chyba v zabezpečení Log4j (Zero Day) – Genius Bytes Není ovlivněno
IRIS • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 & 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Discover Assessment Web Survey	Není ovlivněno.
Kofax • PowerPDF • eCopy ShareScan • Robotic Process Automation • Kofax Communication Manager Solution	Informace o chybě v zabezpečení Log4j2 u produktů Kofax a Apache – Kofax Není ovlivněno. Dokud nebudou připraveny opravy ShareScan, postupujte podle kroků uvedených v článku ShareScan a chyba v zabezpečení Log4j (CVE-2021-44228) – Kofax. K dispozici jsou opravy. Přečtěte si článek Informace o zneužití chyby v zabezpečení CVE-2021-44228 log4j ve službě Kofax RPA. K dispozici jsou opravy. Přečtěte si článek Chyba v zabezpečení log4j ve službě Kofax Communications Manager.
Nástroj Netaphor • SiteAudit	Chyba v zabezpečení služby SiteAudit | Databáze znalostí Netaphor SiteAudit(TM)
Netikus • EventSentry	Ovlivňuje chyba v zabezpečení Log4Shell Log4j RCE CVE-2021-44228 software EventSentry | EventSentry
Newfield IT • Asset DB	Není ovlivněno.
Objectif Lune • Connect	Minulé verze softwaru Objectif Lune Connect používaly modul log4j, který byl odstraněn s vydáním verze softwaru 2018.1. Pokud používáte software Objectif Lune Connect ve verzi 2018.1 nebo novější, chyba v zabezpečení se nevyskytuje.
OptimiDoc • OptimiDoc	OptimiDoc | informace o chybě v zabezpečení Log4j
Overall • Print In City	Není ovlivněno.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) – Jak je ovlivněna aplikace PaperCut? | PaperCut
Paper River • TotalCopy	Není ovlivněno.
Ringdale • FollowMe Embedded	Není ovlivněno.
Quadient • Inspire Suite	Informace stávajícím zákazníkům platformy Quadient University o chybě v zabezpečení Log4J
T5 Solutions • TG-PLOT/CAD-RIP	Není ovlivněno.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Westpole • Intelligent Print Management	Není ovlivněno.

Ve funkci vzdáleného uživatelského rozhraní laserových tiskáren a multifunkčních zařízení Canon pro malé kanceláře byla objevena chyba v zabezpečení skriptování mezi servery – níže naleznete seznam dotčených modelů (identifikační číslo chyby: JVN # 64806328).

Tuto chybu v zabezpečení může útočník zneužít pouze v případě, že je v režimu administrátora. I přesto, že nebyly ohlášeny žádné ztráty dat, doporučujeme z důvodu lepšího zabezpečení nainstalovat nejnovější firmwaru. Aktualizace naleznete na adrese https://www.canon-europe.com/support/.

Doporučujeme vám také nastavit soukromou IP adresu a síťové prostředí, které umožňuje navazování připojení prostřednictvím brány firewall nebo směrovače Wi-Fi, který může omezit přístup k síti. Další podrobnosti o bezpečnostních opatřeních při připojování zařízení k síti naleznete na adrese https://www.canon-europe.com/support/product-security/.

Postižené výrobky:

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F

Na začátku tohoto roku byla zjištěna chyba v zabezpečení služby zařazování tisku systému Microsoft Windows, která byla označována jako „PrintNightmare“. Tato chyba v zabezpečení umožňuje hackerům převzít za určitých podmínek kontrolu nad uživatelskými systémy Windows.

I přesto, že to může ovlivnit uživatele zařízení Canon, jedná se o důsledek chyby v softwaru společnosti Microsoft a ne o problém týkající se produktů nebo softwaru společnosti Canon. Přesněji řečeno, tento problém spočívá ve funkčnosti služby zařazování tisku, která je nainstalována na každém serveru Windows Server a stolním počítači se systémem Windows.

Společnost Microsoft oznámila, že tyto chyby zabezpečení byly vyřešeny v rámci bezpečnostní aktualizace společnosti Microsoft z 6. července, která je k dispozici prostřednictvím služby Windows Update nebo stažením a instalace aktualizace KB5004945. Společnost Microsoft doporučuje, aby IT týmy tuto aktualizaci bez prodlení nainstalovali, aby bylo možné zabránit zneužití těchto chyb zabezpečení. Další informace od společnosti Microsoft naleznete na adrese https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527.

Kromě doporučení společnosti Microsoft nainstalovat aktualizace rovněž doporučujeme, abyste v rámci zabezpečení systému zkontrolovali, že následující nastavení registru jsou nastavena na hodnotu 0 (nula) nebo nejsou definována (tyto klíče registru ve výchozím nastavení neexistují, a proto jsou již zabezpečené). Měli byste také zkontrolovat, že jsou správně nastavené předvolby skupinové politiky:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) nebo Nedefinováno (výchozí nastavení)
• UpdatePromptSettings = 0 (DWORD) nebo Nedefinováno (výchozí nastavení)

Pokud je klíč registru „NoWarningNoElevationOnInstall“ nastaven na hodnotu 1, dojde ke snížení zabezpečení systému.

Doporučujeme, aby váš IT tým nadále sledoval web podpory společnosti Microsoft a zajistil, že budou použity všechny příslušné opravy operačního systému.

Po prošetření jsme došli k závěru, že tato bezpečnostní slabina nemá žádný dopad na produkty imageRUNNER, imageRUNNER ADVANCE ani i-SENSYS. Pokračujeme v šetření napříč celou nabídkou produktů Canon a tento článek aktualizujeme, až budeme mít k dispozici další informace.

Institut Federal Office for Information Security (BSI) nás upozornil, že implementace sítě v rámci microMIND má ohrožené zabezpečení a mohla by být zneužita. Tyto slabiny zabezpečení odhalili výzkumníci společnosti Forescout Technologies Jos Wetzels, Stanislav Dashevskyi, Amine Amri a Daniel dos Santos.

Technologie microMIND využívá otevřený zásobník uIP ( https://en.wikipedia.org/wiki/UIP_(micro_IP)) používaný tisíci společností k provozu softwaru/hardwaru v síti. Výzkumníci zjistili, že pokud by tato ohrožení zabezpečení byla zneužita, mohlo by dojít k útoku typu odepření služeb (DoS), který by zařízení odstřihl od sítě, nebo k provedení vzdáleného spuštění kódu (RCE) na samotném microMIND. K vyřešení těchto chyb zabezpečení vydala společnost NT-ware nový firmware, který se zabývá všemi oznámenými problémy. V době vzniku tohoto bulletinu nejsou známa žádná zneužití zaměřená na microMIND.

Název/odkaz zneužití: AMNESIA:33, https://www.forescout.com/amnesia33/

CVE uvedená v této verzi firmwaru: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438 a CVE-2020-17437

CVE nesouvisející s implementací zásobníku uIP MicroMIND: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334 a CVE-2020-24335

Ovlivněný firmware uniFLOW microMIND: verze 2.0.9 a starší nebo doručený před říjnem 2020.

Zmírnění dopadu/akce: Pokud máte microMIND obsahující tuto chybu, obraťte se na zástupce společnosti Canon a domluvte si aktualizaci firmwaru.

Izraelská společnost zabývající se kybernetickou ochranou SCADAfence Ltd. nás upozornila na zranitelnost související se zásobníkem protokolů IP, který využívají laserové a malé multifunkční kancelářské tiskárny Canon. Více podrobností naleznete v případu číslo CVE-2020-16849.

Potenciální hrozba se týká útoku třetích stran na zařízení připojeného k síti, u které jsou povoleny fragmenty „Address Book/Adresář“ a/nebo „Administrator Password/Heslo správce“, které lze získat prostřednictvím nezabezpečené sítě. Je nutné mít na paměti, že pokud je protokol HTTPS používán pro komunikaci se vzdáleným uživatelským rozhraním, jsou data zabezpečena šifrováním.

Dosud nedošlo k žádným potvrzeným případům zneužití těchto chyb zabezpečení, které by způsobily škodu. Z důvodu zajištění bezpečného použití našich produktů však bude pro následující produkty k dispozici nový firmware:

Řada i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW

Řada i-SENSYS LBP
LBP113W
LBP151DW
LBP162DW

Řada imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF

Podrobnosti k aktualizaci firmwaru naleznete v uživatelské příručce.
Doporučujeme u produktů používat soukromé IP adresy a parametry kontroly sítě, jako je využití firewallu nebo routeru Wi-Fi, který omezí přístup k síti. Další rady naleznete v části „Zabezpečení produktů připojených k síti“ uvedené níže na této stránce.

Při vyšetřování zranitelnosti „Ripple20“ nedošlo ke zjištění žádných problémů, které by souvisely s tiskárnami společnosti Canon.

I přesto, že heslo bezdrátové funkce společnosti Canon vyhovuje stávajícímu standardu WPA, jsme si vědomi toho, že zabezpečení poskytované osmimístnými numerickými hesly již není tak silné jako v minulosti. Proto doporučujeme, aby na místech, jako jsou například veřejná prostranství, na kterých může bezdrátové zabezpečení představovat problém, byly produkty společnosti Canon vždy připojeny k síti Wi-Fi v režimu infrastruktury. Zabezpečení bereme velmi vážně. V tuto chvíli aktualizujeme konfigurace zabezpečení Wi-Fi napříč našimi produkty, abychom vám pomohli zůstat v bezpečí. Všechny aktualizace budou zveřejněny na těchto stránkách. Společnost Canon by ráda poděkovala společnosti REDTEAM.PL, která nás upozornila na měnící se povahu zabezpečení hesel a jeho dopadu na trh.

Verze 3.8 a novější softwarové platformy imageRUNNER ADVANCE představila protokol Syslog (v souladu se specifikací RFC 5424, RFC 5425 a RFC 5426). Jde o informační událost fungující téměř v reálném čase, která doplňuje stávající zprávy o zařízení o zvýšenou viditelnost zařízení a bezpečnostní události zařízení. To doplňuje informační schopnosti zařízení a umožňuje připojení ke stávajícímu serveru security information event management (SIEM) nebo serveru Syslog. V dokumentu „SIEM_spec“ níže naleznete podrobnosti o typech zpráv a dat, které je možné generovat.

V rámci operačního systému VxWork bylo identifikováno jedenáct zranitelných míst, která jsme pojmenovali „URGENT/11“ (CVE-2019-12255 až CVE-2019-12265). Bylo zjištěno, že zásobník protokolů IPnet TCP/IP použitý v operačním systému VxWorks byl také používán v jiných operačních systémech v reálném čase, čímž vznikla možná zranitelná místa (CVE-2019-12255, CVE-2019-12262 a CVE-2019-12264), která existují v širším sortimentu produktů.

Některé starší evropské modely mohou být vůči tomuto problému náchylné, jelikož bylo zjištěno, že používají poškozený zásobník protokolů TCP/IP:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Děkujeme vám, že používáte produkty od společnosti Canon.

Mezinárodní tým výzkumníků nás upozornil na oslabení zabezpečení komunikace pomocí protokolu PTP (Picture Transfer Protocol), který používají digitální fotoaparáty Canon, a také na zranitelnost související s aktualizacemi firmwaru.

(Č. CVE:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

Kvůli těmto oslabením zabezpečení je teoreticky možné, aby došlo k útoku třetí strany na fotoaparát připojený k počítači nebo mobilnímu zařízení, které bylo napadeno přes nezabezpečenou síť.

Doposud jsme nezaznamenali žádné potvrzené zneužití těchto oslabení, přesto vás chceme ujistit, že naše produkty můžete i nadále bezpečně používat. Rádi bychom vás proto informovali o následujících řešeních tohoto problému.

• Ujistěte se, že zařízení připojená k fotoaparátu, jako například počítač, mobilní zařízení nebo router, mají vhodné bezpečnostní zabezpečení.
• Nepřipojujte fotoaparát k počítači nebo mobilnímu zařízení, které používá nezabezpečenou síť, jako je například Wi-Fi zdarma.
• Nepřipojujte fotoaparát k počítači nebo mobilnímu zařízení, které mohlo být vystaveno napadení virem.
• Vypněte síťové funkce fotoaparátu, pokud je zrovna nepoužíváte.
• Při aktualizaci firmwaru fotoaparátu stahujte pouze oficiální firmware z webových stránek společnosti Canon.

Dochází k nárůstu užívání počítačů a mobilních zařízení na nezabezpečených sítích (jako Wi-Fi zdarma), kde zákazníci neznají zabezpečení sítě. Vzhledem k tomu, že naši zákazníci stále častěji přenášejí snímky z fotoaparátu do mobilního zařízení prostřednictvím připojení Wi-Fi, implementujeme aktualizace firmwaru u následujících modelů s funkcí Wi-Fi.

Těmito zranitelnými místy jsou postiženy následující digitální zrcadlovky a bezzrcadlové fotoaparáty řady EOS:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	Fotoaparát PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 V případě použití adaptéru Wi-Fi nebo bezdrátového přenašeče dat se lze připojit k síti Wi-Fi.

^*2 Tato zranitelná místa mají rovněž vliv na připojení k síti Ethernet.

Informace o aktualizaci firmwaru budou postupně poskytnuty pro každý produkt zvlášť počínaje produkty, pro které byly dokončeny přípravy.

Instrukce k instalaci opravného balíčku naleznete zde 

Usilovně se snažíme svým zákazníkům poskytovat bezpečná řešení a omlouváme se za jakékoli nepříjemnosti, které tato situace způsobila. V případě, že vyžadujete další informace ohledně toho problému, kontaktujte místní kancelář společnosti Canon, autorizovaného prodejce nebo zástupce oddělení podpory společnosti Canon. Zaznamenáte-li jakoukoli podezřelou aktivitu, okamžitě informujte svého správce účtu a IT oddělení.

Naši výzkumníci nedávno odhalili chybu v zabezpečení komunikačních protokolů funkce faxování u některých produktů. (Č. CVE: CVE-2018-5924, CVE 2018-5925). Informace o dopadu těchto oslabení na produkty Canon vybavené funkcí faxování naleznete níže:

Z výsledků našeho přezkoumání vyplývá, že řad produktů s funkcí faxování imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP a imageCLASS/i-SENSYS se oslabení netýká, jelikož nevyužívají faxový protokol G3.

Tento protokol využívají pouze řady MAXIFY a PIXMA. Prozatím jsme však neodhalili žádné riziko spuštění škodlivého kódu v obvodu faxu ani ohrožení uložených dat.

Situaci budeme i nadále sledovat a podnikneme veškeré potřebné kroky k zabezpečení našich zařízení.

Nedávno byla zveřejněna oslabení týkající se určitých procesorů od společností Intel, AMD a ARM, která využívají spekulativního provedení pro vylepšení výkonu. Tato oslabení mohou umožnit útočníkům získat nepovolený přístup k oblastem soukromé paměti cache.

Byly identifikovány a pojmenovány dvě varianty oslabení, které používají různé techniky ke zneužití funkcí spekulativního provedení u postižených procesorů. Jedná se o procesory CVE-2017-5715, CVE-2017-5753: „Spectre“ a CVE-2017-5754: „Meltdown“.

Těmito oslabeními mohou být ohroženy následující externí ovladače Canon. Přestože není v současnosti znám žádný způsob zneužití těchto oslabení, jsou připravována opatření, aby zákazníci mohli i nadále bez obav používat naše produkty.

ColorPASS: 
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1

imagePASS: 
U1 v1.1, U1 v1.1.1, U2 v1.0 
Y1 v1.0, Y2 v1.0

Server imagePRESS-CR: 
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1

Server imagePRESS: 
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0 
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0 
F200 v1.21, H300 v1.0 
J100 v1.21, J200 v1.21 
K100 v1.0, K200 v1.0 
Q2 v2.0, Z1 v1.0

Těmito oslabeními mohou být ohroženy následující služby Canon. Přestože není v současnosti znám žádný způsob zneužití těchto oslabení, koncem února 2018 vešla v účinnost jistá opatření.

MDS Cloud

Těmito oslabeními nebyly zasaženy žádné multifunkční laserové tiskárny Canon ani laserové tiskárny Canon a jejich příslušné softwarové produkty, kromě výše zmíněných, a to pomocí jakéhokoli známého procesu zneužití. Zákazníci mohou nadále bez obav používat naše produkty.

Společnost Canon neustále pracuje na zajištění nejvyšší úrovně zabezpečení u všech našich produktů a řešení. Zabezpečení informací našich zákazníků bereme vážně a jejich ochrana je naší nejvyšší prioritou.

Nejmenovaný výzkumník nedávno zveřejnil informace o zranitelnosti známé jako KRACKs, která byla objevena ve standardním šifrovacím protokolu WPA2, který využívají bezdrátové sítě LAN (Wi-Fi). Zranitelnost umožňuje útočníkovi cíleně vstupovat do bezdrátové komunikace mezi klientem (zařízením s funkcí Wi-Fi) a přístupovým bodem (routerem apod.) a provádět potenciálně škodlivou činnost. Z tohoto důvodu může být zranitelnost využita pouze osobou nacházející se v dosahu signálu Wi-Fi, a ne na dálku prostřednictvím internetu. 

Doposud jsme nepotvrdili, zda se tyto problémy spojené se zranitelností týkají i uživatelů produktů Canon. Aby však uživatelé mohli nadále bez obav používat naše produkty, doporučujeme jim podniknout tyto preventivní kroky: 
• K připojení kompatibilních zařízení k síti používejte kabel USB nebo kabel Ethernet 
• Používejte šifrovaný přenos dat, pokud vaše zařízení umožňuje nastavení šifrování (TLS/IPSec) 
• S kompatibilními zařízeními používejte fyzická média, například SD karty 
• Na kompatibilních zařízeních používejte funkce jako Wireless Direct a Direct Connect

Postupy ovládání a nabízené funkce se u každého modelu liší. Více informací naleznete v uživatelské příručce daného zařízení. Doporučujeme také provést náležitá opatření na zařízeních, jako jsou počítače nebo smartphony. Více informací ohledně náležitých opatření pro každé zařízení vám podá výrobce zařízení.

Jsme si vědomi nových článků týkajících se výzkumu od University Alliance Ruhr o potenciální zranitelnosti síťových tiskáren prostřednictvím programovacího jazyku PostScript, který je v našem odvětví hojně používán. V rámci průzkumu nebylo testováno žádné zařízení Canon.

Společnost Canon neustále pracuje na zajištění nejvyšší úrovně zabezpečení u všech našich produktů a řešení, včetně síťových tiskáren. Zabezpečení informací našich zákazníků bereme vážně a jejich ochrana je naší nejvyšší prioritou. Naše příručka kalení pro multifunkční zařízení popisuje a poskytuje rady ohledně nejlepšího nastavení konfigurace pro bezpečnou implementaci.

Informace týkající se opatření zabezpečení pro konkrétní produkty Canon a postupy jejich nastavení jsou uvedeny níže. Upozorňujeme, že tyto informace jsou dostupné pouze v angličtině.

Inkoustové tiskárny (řada PIXMA) a kancelářské inkoustové tiskárny (řada MAXIFY) – 530 KB	Ovladače Fiery (imagePRESS Server, ColorPASS, imagePASS) – 1,2 MB	Velkoformátové inkoustové tiskárny (řada imagePROGRAF) – 1,15 MB	Laserové tiskárny a malé kancelářské multifunkční tiskárny (řada LBP a MF) – 1,01 MB
Kancelářské multifunkční tiskárny a produkční tiskárny (řady imageRUNNER, imageRUNNER ADVANCE, imagePRESS) – 754 KB	Síťové kamery – 2,6 MB	Průvodce posílením zabezpečení pro multifunkční zařízení – 2,03 MB	Síťové skenery (řada imageFORMULA) – 602 KB
Matice zabezpečení Canon imageRUNNER – 545 kB	Přehled zabezpečení zařízení Canon – 1,98 MB	Bílá kniha o zabezpečení imageRUNNER ADAVANCE a imageRUNNER ADVANCE DX – 4,49 MB	SIEM_spec (imageRUNNER ADVANCE) – 84 KB
Bílá kniha o zabezpečení ColorWave a PlotWave SMARTshield – 1,01 MB

Zabezpečení informací, ochrana citlivých dat, integrita a dostupnost psaných, mluvených a elektronických informací jsou pro společnost Canon těmi nejvyššími prioritami. Společnost díky tomu vždy nabízí tyto jistoty:

• Diskrétnost – záruka toho, že informace jsou dostupné jen osobám, které mají oprávnění k přístupu
• Integrita – zajištění přesnosti a úplnosti informací a metod zpracování
• Dostupnost – záruka toho, že oprávnění uživatelé mají k informacím přístup vždy, když je potřebují

Certifikace ISO 27001 dokládá, že společnost Canon Europe vlastní systémy, které chrání firemní informace a data, ať už jsou online, či offline. Dodržováním certifikace ISO 27001 společnost Canon Europe potvrzuje, že její bezpečnostní procesy, od vývoje po zavedení, byly objektivně posouzeny a společnost třetí strany ověřila dodržení mezinárodně uznávaných podmínek.

	Společnost Canon Europe obdržela certifikaci ISO 27001 za systém správy zabezpečení informací. Zákazníci si tak mohou být jisti, že dodržujeme nejpřísnější normy. Certifikace zahrnuje všechny aspekty zabezpečení informací od krizového managementu a managementu auditu po bezpečnost produktů a management nehod.

Náš systém správy zabezpečení informací (ISMS) zahrnuje tyto oblasti:

• zásady zabezpečení
• správa zabezpečení informací
• správa majetku
• zabezpečení lidských zdrojů
• fyzické zabezpečení a ochrana životního prostředí
• správa komunikace a operací
• řízení přístupu
• akvizice, vývoj a údržba informačních systémů
• správa nehod v oblasti zabezpečení informací
• správa kontinuity podnikání
• dodržování zákonů a předpisů

Tým společnosti Canon pro řešení incidentů v oblasti zabezpečení produktů (PSIRT) v regionu EMEA je součástí globální organizace Canon PSIRT a je zodpovědný za řešení zranitelností spojených s produkty, systémy a službami společnosti Canon v regionu EMEA. Abychom zlepšili úroveň zabezpečení svých produktů a mohli našim zákazníkům poskytovat vysoce zabezpečené produkty, dodržujeme osvědčené postupy v oboru.

Tým společnosti Canon pro řešení incidentů v oblasti zabezpečení produktů v regionu EMEA vítá informace související s jakoukoli podezřením na zranitelnost produktů. Tyto informace budeme zpracovávat v souladu s našimi Zásadami zpřístupnění informací o zranitelnosti.

Pokud se domníváte, že jste zjistili problém se zabezpečením produktu společnosti Canon nebo chcete nahlásit bezpečnostní incident, můžete kontaktovat tým společnosti Canon pro řešení incidentů v oblasti zabezpečení produktů v regionu EMEA buď e-mailem na adrese product-security@canon-europe.com, nebo prostřednictvím formuláře pro nahlášení zranitelnosti produktu. Uveďte podrobné shrnutí problému zabezpečení, přesný název produktu, verzi softwaru a povahu problému. Rovněž uveďte e-mailovou adresu a telefonní číslo, abychom se na vás v případě potřeby dalších informací mohli obrátit.

Upozorňujeme, že tato e-mailová adresa a formulář slouží pouze pro hlášení problémů se zabezpečením a zranitelností produktů a neslouží k hlášení obecných problémů. Chcete-li pomoct s jakýmkoli jiným problémem týkajícím se produktů, navštivte naše stránky podpory.

Tým pro zabezpečení informací společnosti Canon se usilovně snaží chránit své zaměstnance a zákazníky. V rámci této snahy zveme výzkumníky v oblasti zabezpečení, aby pomohli chránit společnost Canon proaktivním hlášením bezpečnostních nedostatků a slabin. Podrobnosti svých zjištění můžete nahlásit na e-mailovou adresu appsec@canon-europe.com

Zahrnuté domény

Zde je seznam domén, které jsou součástí politiky informování o zranitelnosti společnosti Canon.

*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Slabiny můžete nahlásit na naši e-mailovou adresu appsec@canon-europe.com. V e-mailu uveďte stručně, jasně a podrobně, jaké slabiny jste našli a poskytněte veškeré důkazy, které máte k dispozici. Mějte na paměti, že vaši zprávu budou hodnotit specialisté zabezpečení společnosti Canon. Ve svém e-mailu uveďte zejména následující:

• Typ zranitelnosti
• Pokyny krok za krokem, jak slabinu reprodukovat
• Přístup, jaký jste zaujali
• Celou adresu URL
• Položky (filtry nebo zadaná pole), které mohly být zahrnuty
• Velmi nápomocné budou i snímky obrazovky
• Do hlášení o slabině zadejte svou IP adresu. Ta zůstane soukromá a bude použita pouze ke sledování vašich zkušebních činností a ke kontrole záznamů z naší strany.

Nepřijímáme výstup z automatizovaných softwarových skenerů.

Co nepřijímáme:

• Zranitelnosti Denial of Service / volumetrické zranitelnosti (např. přetížení našich služeb vysokým počtem požadavků)
• Slabiny v konfiguraci TLS (např.: podpora „slabého“ šifrování, podpora protokolu TLS1.0 či sweet32 atd.)
• Problémy týkající se ověření e-mailových adres vytvořených k tvorbě uživatelských účtů souvisejících s myid.canon
• „Vlastní“ XSS
• Skripty Mixed Content Scripts na adrese www.canon.*
• Nezabezpečené soubory cookie na adrese www.canon.*
• Útoky CSRF a CRLF s minimálním dopadem
• Útok XSS na hostitele HTTP bez platného ověření koncepce
• Neúplný/chybějící SPF/DMARC/DKIM
• Útoky sociálního inženýrství
• Bezpečnostní chyby na webových stránkách třetích stran integrovaných s webovou stránkou Canon
• Techniky pro sběr síťových dat (např. grabbing bannerů, existence veřejně dostupných stránek serverové diagnostiky)
• Hlášení naznačující, že naše služby plně neodpovídají „osvědčeným postupům“

Odborníci na informační bezpečnost společnosti Canon vaše hlášení prošetří a kontaktují vás do 5 pracovních dní. 

Vaše soukromí

Vaše osobní údaje využijeme pouze k jednání na základě vašeho hlášení. Bez vašeho výslovného svolení nebudeme vaše osobní údaje s nikým sdílet.

Potenciálně nezákonné činy

Pokud objevíte slabinu a začnete ji prošetřovat, můžete se dopustit přestupku. Pokud budete postupovat podle níže uvedených pravidel a zásad pro hlášení nedostatků v našich informačních systémech, váš přestupek neoznámíme úřadům a nepodáme stížnost.

Je však důležité mít na paměti, že státní zastupitelství – nikoli CANON – může rozhodnout, zda budete stíháni či nikoli, i když jsme váš přestupek neoznámili úřadům. To znamená, že nemůžeme zaručit, že nebudete stíháni, pokud se při vyšetřování slabiny dopustíte trestného činu.

Národní centrum pro kybernetickou bezpečnost ministerstva bezpečnosti a spravedlnosti vytvořilo pokyny pro hlášení nedostatků v informačních systémech. Naše pravidla se řídí těmito pokyny. (https://english.ncsc.nl/)

Obecné zásady

Buďte zodpovědní a jednejte velmi opatrně a obezřetně. Při prošetřování záležitosti používejte pouze metody nebo techniky, které jsou nutné k nalezení nebo prokázání slabých stránek.

• Objevené slabiny nepoužívejte pro jiné účely, než je vaše vlastní vyšetřování.
• Nepoužívejte sociální inženýrství k získání přístupu k systému.
• Neinstalujte žádná zadní vrátka – ani jako důkaz zranitelnosti systému. Zadní vrátka pouze oslabí bezpečnost systému.
• Neměňte ani nesmažte žádné informace v systému. Pokud pro účely svého vyšetřování potřebujete kopírovat informace, nikdy nekopírujte více, než potřebujete. Pokud stačí jeden záznam, dále nepokračujte.
• Žádným způsobem neměňte systém.
• Systém infiltrujte pouze v nezbytně nutných případech. Pokud se vám podaří systém infiltrovat, nesdílejte přístup s ostatními.
• K získání přístupu k systémům nepoužívejte techniky hrubé síly, například opakované zadávání hesel.
• K získání přístupu nepoužívejte útoky typu Denial of Service (DoS)

Obdržím za své vyšetřování odměnu?

Ne, na žádnou odměnu nemáte nárok.

Mohu zveřejnit slabiny, které při vyšetřování objevím?

Nikdy nesdílejte informace o nedostatcích v informačních systémech Canon nebo o vyšetřování, aniž byste nás nejprve konzultovali prostřednictvím e-mailové adresy appsec@canon-europe.com. Můžeme spolupracovat, abychom zabránili zločincům ve zneužívání vašich údajů. Poraďte se s naším týmem pro zabezpečení informací a společně můžeme pracovat na zveřejnění.

Mohu slabinu nahlásit anonymně?

Ano, můžete. Při nahlašování slabiny nemusíte uvádět své jméno a kontaktní údaje. Uvědomte si však, že s vámi nebudeme moci spolupracovat a konzultovat následná opatření, např. co děláme s vaší zprávou.

K čemu nemám používat tuto e-mailovou adresu?

E-mailová adresa appsec@canon-europe.com není určena:

• K odesílání stížností na produkty nebo služby Canon
• K odesílání dotazů nebo stížností na dostupnost webových stránek Canon.
• K nahlašování podvodu nebo podezření z podvodu
• K nahlašování falešných a phishingových e-mailů
• K nahlašování virů