Bezpieczeństwo produktów

Wykryto potencjalny problem z unikatowością karty identyfikacyjnej w czytnikach kart oznaczonych marką NT-ware (pierwotnie opracowane i dostarczane przez rf IDEAS) i poinformowano o tym w komunikacie CVE-2024-1578.

Mimo że nie otrzymaliśmy żadnych zgłoszeń dotyczących wykorzystania tego problemu, zalecamy zapoznanie się z komunikatem o bezpieczeństwie dostępnym po kliknięciu łącza.

Szczegółowe informacje na temat tej luki w zabezpieczeniach oraz ograniczania i usuwania jej skutków można znaleźć pod adresem:

Informacja o zabezpieczeniach: czytnik wielu rodzajów kart MiCard PLUS pomija znaki

W uniFLOW Online wykryto potencjalną podatność na zagrożenia w przypadku rejestracji urządzenia (komunikat: CVE-2024-1621).

Mimo że nie otrzymaliśmy żadnych zgłoszeń dotyczących wykorzystania tego problemu, zalecamy zapoznanie się z komunikatem o bezpieczeństwie dostępnym po kliknięciu łącza.

Szczegółowe informacje na temat tej luki w zabezpieczeniach oraz ograniczania i usuwania jej skutków można znaleźć pod adresem:

Komunikat o bezpieczeństwie: rejestracja urządzenia podatna na zagrożenia

W przypadku niektórych drukarek wielofunkcyjnych i drukarek laserowych do małych biur wykryto lukę w zabezpieczeniach związaną z przepełnieniem buforu w procesie protokołu WSD.

Szczegółowe informacje na temat tej luki w zabezpieczeniach oraz ograniczania i usuwania jej skutków można znaleźć pod adresem:

CP2024-002 – ograniczenie efektów / usuwanie luk w zabezpieczeniach wielofunkcyjnych drukarek i drukarek laserowych do małych biur – Canon PSIRT.

Wykryto kilka luk w zabezpieczeniach niektórych drukarek laserowych i drukarek wielofunkcyjnych do małych biur.

Luki te umożliwiają zdalnym nieuwierzytelnionym osobom atak i wykonanie dowolnego kodu, jeśli urządzenie jest podłączone do Internetu bez pośrednictwa routera (przewodowego lub Wi-Fi). Mogą również wyprowadzić atak typu „odmowa usługi” (DoS) za pośrednictwem Internetu.

<Przepełnienie bufora>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Nie odnotowano żadnych zgłoszeń dotyczących wykorzystania tych luk w zabezpieczeniach. Jednak w celu zwiększenia bezpieczeństwa produktu zalecamy, aby klienci zainstalowali najnowsze oprogramowanie układowe dostępne dla wymienionych poniżej modeli, których dotyczy problem. Zalecamy też, aby klienci skonfigurowali prywatne adresy IP dla urządzeń i utworzyli środowisko z zaporą sieciową lub routerem przewodowym/Wi-Fi w celu ograniczenia dostępu do sieci.

Więcej informacji na temat zabezpieczania produktów podłączonych do sieci można znaleźć w sekcji Zabezpieczenia produktów.

Będziemy dalej wzmacniać środki bezpieczeństwa, aby użytkownicy mogli korzystać z produktów firmy Canon bez obaw. W przypadku wykrycia tych luk w zabezpieczeniach w innych produktach zaktualizujemy ten artykuł.

Sprawdź, których modeli dotyczy problem.

Oprogramowanie (w tym oprogramowanie układowe) oraz informacje dotyczące pomocy technicznej dot. produktów znajdują się na stronie pomocy technicznej.

Canon dziękuje wymienionym poniżej badaczom za zidentyfikowanie tych luk w zabezpieczeniach:

• CVE-2023-6229: Nguyen Quoc (Viet) współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-6230: anonimowa osoba współpracująca z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-6231: Team Viettel współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-6232: ANHTUD współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-6233: ANHTUD współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-6234: Team Viettel współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2024-0244: Connor Ford (@ByteInsight) z Nettitude współpracujący z programem Zero Day Initiative firmy Trend Micro

Szczegółowe informacje na temat tej luki w zabezpieczeniach oraz ograniczania i usuwania jej skutków można znaleźć pod adresem:

Ograniczenie wpływu / usuwanie luki w zabezpieczeniach CP2023-003 dotyczącej drukarek atramentowych (domowych i biurowych / wielkoformatowych) – zespół Canon PSIRT

Opis

Zidentyfikowano dwie luki w zabezpieczeniach narzędzia IJ Network Tool (zwanego dalej oprogramowaniem). Luki te umożliwiają osobie atakującej podłączenie się do tej samej sieci, w której działa drukarka, i przechwycenie poufnych informacji na temat konfiguracji połączenia Wi-Fi drukarki poprzez użycie oprogramowania lub odwołanie się do jego komunikacji.

CVE/CVSS

CVE-2023-1763: Przechwycenie poufnych informacji na temat konfiguracji połączenia Wi-Fi drukarki z oprogramowania. CVSS v3 CVSS: 3.1/AV: A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Podstawowy wynik: 6.5.

CVE-2023-1764: Przechwycenie poufnych informacji na temat konfiguracji połączenia Wi-Fi drukarki z komunikacji oprogramowania. CVSS v3 CVSS: 3.1/AV: A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Podstawowy wynik: 6.5.

Produkty, których dotyczy problem

Luka w zabezpieczeniach CVE-2023-1763 dotyczy następujących modeli: 

Narzędzie sieciowe dla systemu Mac: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezprzewodowy serwer druku WP-20

Narzędzie sieciowe dla systemu Windows: 

Nie dotyczy

Luka w zabezpieczeniach CVE-2023-1764 dotyczy następujących modeli: 

Narzędzie sieciowe dla systemu Mac: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezprzewodowy serwer druku WP-20

Narzędzie sieciowe dla systemu Windows: 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Bezprzewodowy serwer druku WP-20

Wersje, których dotyczy problem

Luka w zabezpieczeniach CVE-2023-1763 dotyczy następujących wersji: 

Narzędzie sieciowe dla systemu Mac: 

Wersja 4.7.5 i starsze (obsługiwane systemy operacyjne: od OS X 10.9.5 do macOS 13) 

Wersja 4.7.3 i starsze (obsługiwane systemy operacyjne: od OS X 10.7.5 do OS X 10.8)

Narzędzie sieciowe dla systemu Windows: 

Nie dotyczy

Luka w zabezpieczeniach CVE-2023-1764 dotyczy następujących wersji: 

Narzędzie sieciowe dla systemu Mac: 

Wersja 4.7.5 i starsze (obsługiwane systemy operacyjne: od OS X 10.9.5 do macOS 13) 

Wersja 4.7.3 i starsze (obsługiwane systemy operacyjne: od OS X 10.7.5 do OS X 10.8)

Narzędzie sieciowe dla systemu Windows: 

Wersja 3.7.0

Łagodzenie skutków / działania naprawcze

W przypadku luki CVE-2023-1763: 

Obejście tej luki polega na używaniu drukarek z zaufanym połączeniem sieciowym. Tutaj można znaleźć następujące informacje: „Bezpieczeństwo urządzenia łączącego się z siecią”. 

Ponadto w przypadku narzędzia sieciowego dla systemu Mac należy pobrać zaktualizowane wersje oprogramowania. 

Aby uzyskać informacje na temat aktualizacji oprogramowania drukarek atramentowych MAXIFY i PIXMA do wersji 4.7.6 (obsługiwane systemy operacyjne: od OS X 10.9.5 do macOS 13) lub 4.7.4 (obsługiwane systemy operacyjne: od OS X 10.7.5 do OS X 10.8), odwiedź stronę pobierania oprogramowania – Pomoc techniczna dla klientów indywidualnych – i wybierz kolejno: model, kartę Oprogramowanie i narzędzie IJ Network Tool lub Wi-Fi Connection Assistant.

W przypadku luki CVE-2023-1764: 

Obejście tej luki polega na używaniu drukarek z zaufanym połączeniem sieciowym. Tutaj można znaleźć następujące informacje: „Bezpieczeństwo urządzenia łączącego się z siecią”.

Podziękowania

Firma Canon dziękuje National Cyber Security Center Netherlands za zgłoszenie tych luk w zabezpieczeniach.

Zidentyfikowano kilka luk w zabezpieczeniach niektórych drukarek wielofunkcyjnych, drukarek laserowych i drukarek atramentowych do (małych) biur.

Luki te umożliwiają zdalnym nieuwierzytelnionym osobom atak i wykonanie dowolnego kodu, jeśli urządzenie jest podłączone do Internetu bez pośrednictwa routera (przewodowego lub Wi-Fi). Mogą również wyprowadzić atak typu „odmowa usługi” (DoS) za pośrednictwem Internetu. Osoba atakująca może również zainstalować dowolne pliki z powodu nieprawidłowej pracy funkcji uwierzytelniania w zdalnym interfejsie użytkownika.

<Przepełnienie bufora>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<Problemy podczas wstępnej rejestracji administratorów systemu w protokołach kontroli>
CVE-2023-0857

<Nieprawidłowe uwierzytelnianie w zdalnym interfejsie użytkownika>
CVE-2023-0858

<Instalacja dowolnych plików>
CVE-2023-0859

Nie odnotowano żadnych zgłoszeń dotyczących wykorzystania tych luk w zabezpieczeniach. Jednak w celu zwiększenia bezpieczeństwa produktu zalecamy, aby klienci zainstalowali najnowsze oprogramowanie układowe dostępne dla wymienionych poniżej modeli, których dotyczy problem. Zalecamy też, aby klienci skonfigurowali prywatne adresy IP dla urządzeń i utworzyli środowisko z zaporą sieciową lub routerem przewodowym/Wi-Fi w celu ograniczenia dostępu do sieci.

Więcej informacji na temat zabezpieczania produktów podłączonych do sieci można znaleźć w sekcji Zabezpieczenia produktów.

Będziemy dalej wzmacniać środki bezpieczeństwa, aby użytkownicy mogli korzystać z produktów firmy Canon bez obaw. W przypadku wykrycia tych luk w zabezpieczeniach w innych produktach zaktualizujemy ten artykuł.

Sprawdź, których modeli dotyczy problem.

Oprogramowanie (w tym oprogramowanie układowe) oraz informacje dotyczące pomocy technicznej dot. produktów znajdują się na stronie pomocy technicznej.

Aby uzyskać informacje na temat aktualizacji oprogramowania układowego drukarek atramentowych MAXIFY, PIXMA i imagePROGRAF, zapoznaj się z podręcznikiem online.

Canon dziękuje wymienionym poniżej badaczom za zidentyfikowanie tych luk w zabezpieczeniach:

• CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0852: R-SEC, Nettitude współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0853: DEVCORE współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0854: DEVCORE współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0855: Chi Tran współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0856: Team Viettel współpracujący z programem Zero Day Initiative firmy Trend Micro
• CVE-2023-0857: Alex Rubin i Martin Rakhmanov
• CVE-2023-0858: Alex Rubin i Martin Rakhmanov
• CVE-2023-0859: Alex Rubin i Martin Rakhmanov

W oprogramowaniu uniFLOW Server i uniFLOW Remote Print Server wykryto lukę w zabezpieczeniach mogącą skutkować ujawnieniem danych.

Mimo że nie otrzymaliśmy żadnych zgłoszeń dotyczących wykorzystania tej luki, zalecamy zaktualizowanie oprogramowania do najnowszej wersji.

Szczegółowe informacje na temat tej luki w zabezpieczeniach oraz ograniczania i usuwania jej skutków można znaleźć pod adresem:

Komunikat o bezpieczeństwie: pomoc techniczna MOM – luka w zabezpieczeniach – wsparcie dot. NT-ware

W wyprodukowanych przez firmę Canon drukarkach laserowych i wielofunkcyjnych drukarkach dla małych biur wykryto wiele przypadków luk w zabezpieczeniach skutkujących przepełnieniem bufora.

Mimo że nie otrzymaliśmy żadnych zgłoszeń dotyczących wykorzystania tej luki, zalecamy zaktualizowanie oprogramowania układowego urządzenia do najnowszej wersji.

Ta luka w zabezpieczeniach sprawia, że jeśli produkt jest podłączony bezpośrednio do Internetu bez użycia routera przewodowego lub Wi-Fi, osoba trzecia w Internecie może wykonać dowolny kod, a produkt może zostać poddany atakowi typu „odmowa usługi” (ang. Denial-of Service, DoS).

Nie zalecamy łączenia się bezpośrednio z Internetem – należy używać prywatnego adresu IP w bezpiecznej sieci prywatnej skonfigurowanej za pomocą zapory lub routera przewodowego/bezprzewodowego. Informacje na temat „zabezpieczania produktu podłączonego do sieci” można znaleźć na stronie www.canon-europe.com/support/product-security.

Będziemy dalej wzmacniać środki bezpieczeństwa, aby użytkownicy mogli korzystać z produktów firmy Canon bez obaw. W przypadku wykrycia tej luki w zabezpieczeniach w innych produktach zaktualizujemy ten artykuł.

Sprawdź, których modeli dotyczy problem.

Oprogramowanie (w tym oprogramowanie układowe) oraz informacje dotyczące pomocy technicznej dot. produktów znajdują się na stronie pomocy technicznej.

Canon dziękuje wymienionemu poniżej badaczowi za zidentyfikowanie tej luki w zabezpieczeniach.

• CVE-2022-43608: Angelboy (@scwuaptx) z zespołu badawczego DEVCORE współpracującego z Zero Day Initiative firmy Trend Micro

W wyprodukowanych przez firmę Canon drukarkach laserowych i wielofunkcyjnych drukarkach dla małych biur wykryto wiele przypadków luk w zabezpieczeniach skutkujących przepełnieniem bufora. Pokrewne CVE to: CVE-2022-24672, CVE-2022-24673 i CVE-2022-24674. Poniżej znajduje się lista modeli, których dotyczy problem.

Mimo że nie otrzymaliśmy żadnych zgłoszeń dotyczących wykorzystania tej luki, prosimy o zaktualizowanie oprogramowania układowego urządzenia do najnowszej wersji.

Ta luka w zabezpieczeniach sprawia, że jeśli produkt jest podłączony bezpośrednio do Internetu bez użycia routera przewodowego lub Wi-Fi, osoba trzecia w Internecie może wykonać dowolny kod, a produkt może zostać poddany atakowi typu „odmowa usługi” (ang. Denial-of Service, DoS).

Nie zalecamy łączenia się bezpośrednio z Internetem – należy używać prywatnego adresu IP w bezpiecznej sieci prywatnej skonfigurowanej za pomocą zapory lub routera przewodowego/bezprzewodowego. Informacje na temat „zabezpieczania produktu podłączonego do sieci” można znaleźć na stronie www.canon-europe.com/support/product-security.

Będziemy kontynuować prace nad wzmocnieniem środków bezpieczeństwa, aby użytkownicy mogli korzystać z produktów firmy Canon bez obaw. W przypadku wykrycia luk w zabezpieczeniach w innych produktach natychmiast zaktualizujemy ten artykuł.

Drukarki laserowe i urządzenia wielofunkcyjne dla małych biur, w przypadku których należy użyć opisanego środka zaradczego:

imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z

Oprogramowanie (w tym oprogramowanie układowe) oraz informacje dotyczące pomocy technicznej dot. produktów znajdują się na stronie pomocy technicznej.

CANON dziękuje wymienionym poniżej osobom za zidentyfikowanie tej luki w zabezpieczeniach.

• CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho) z @Synacktiv, współpracujący z Zero Day Initiative firmy Trend Micro
• CVE-2022-24673: Angelboy (@scwuaptx) z zespołu badawczego DEVCORE współpracującego z Zero Day Initiative firmy Trend Micro
• CVE-2022-24674: Nicolas Devillers (@nikaiw), Jean-Romain Garnier i Raphael Rigo (@_trou_) współpracujący z Zero Day Initiative firmy Trend Micro

Aplikacja Spring MVC lub Spring WebFlux uruchomiona na JDK 9+ może być narażona na zdalne wykonanie kodu poprzez wiązanie danych. Określony program wykorzystujący lukę wymaga, aby aplikacja uruchomiła się na serwerze Tomcat jako wdrożenie pliku WAR. Jeśli aplikacja jest wdrożona jako plik wykonywalny jar Spring Boot, tj. plik domyślny, nie jest ona narażona na wykorzystanie luki. Jednak charakter tej luki jest bardziej ogólny i mogą istnieć inne sposoby jej wykorzystania. Złośliwy plik klasy może zrobić praktycznie wszystko: doprowadzić do wycieku danych lub tajemnic, uruchomić inne oprogramowanie, np. ransomware, wydobywać kryptowaluty, wprowadzać luki typu backdoor lub tworzyć tzw. stepping stone umożliwiający przenikanie wgłąb sieci.

https://cpp.canon/products-technologies/security/latest-news/

Na tej stronie wymieniono produkty CPP (Canon Production Printing), których mogą dotyczyć następujące raporty CVE:

• CVE-2022-22947
• CVE-2022-22950
• CVE-2022-22963
• CVE-2022-22965

W poniższej tabeli przedstawiono status luki w zabezpieczeniach poszczególnych urządzeń i oprogramowania z zakresu Canon Production Printing. Zachęcamy do regularnego sprawdzania zaktualizowanych informacji o statusie.

Produkty poddane ocenie i ich status

Systemy tonerowe na arkusze (CTS) / prasy atramentowe na arkusze

Produkty	Status
Produkty oparte na serwerze druku PRISMAsync	Nie dotyczy
Seria varioPRINT 140	Nie dotyczy
Seria varioPRINT 6000	Nie dotyczy
Seria varioPRINT i	Nie dotyczy
Seria varioPRINT iX	Nie dotyczy
Service Control Station (SCS) do serii VPi300 i VPiX	Nie dotyczy
Tablet do serii VPi300 i VPiX	Nie dotyczy
PRISMAsync i300/iX Simulator	Nie dotyczy
PRISMAprepare V6	Nie dotyczy
PRISMAprepare V7	Nie dotyczy
PRISMAprepare V8	Nie dotyczy
PRISMAdirect V1	Nie dotyczy
PRISMAprofiler	Nie dotyczy
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Nie dotyczy

Produkty do druku produkcyjnego (PPP)

Produkty	Status
ColorStream 3×00 ColorStream 3x00Z	Nie dotyczy
ColorStream 6000	Nie dotyczy
ColorStream 8000	Nie dotyczy
ProStream 1×00	Nie dotyczy
Seria LabelStream 4000	Nie dotyczy
ImageStream	Nie dotyczy
JetStream V1 JetStream V2	Nie dotyczy
VarioStream 4000	Nie dotyczy
Seria VarioStream 7000	Nie dotyczy
VarioStream 8000	Nie dotyczy
PRISMAproduction Server V5	Nie dotyczy
PRISMAproduction Host	Nie dotyczy
PRISMAcontrol	Nie dotyczy
PRISMAspool	Nie dotyczy
PRISMAsimulate	Dostępna jest nowa wersja*.
TrueProof	Nie dotyczy
DocSetter	Nie dotyczy
DPconvert	Nie dotyczy

* Prosimy o kontakt z lokalnym przedstawicielem serwisu firmy Canon.

Grafika wielkoformatowa (LFG)

Produkty	Status
Seria Arizona	trwa weryfikacja
Seria Colorado	Nie dotyczy
ONYX HUB	trwa weryfikacja
ONYX Thrive	trwa weryfikacja
ONYX ProductionHouse	trwa weryfikacja

Systemy dokumentacji technicznej (TDS)

Produkty	Status
Seria TDS	Nie dotyczy
Seria PlotWave	Nie dotyczy
Seria ColorWave	Nie dotyczy
Scanner Professional	Nie dotyczy
Driver Select, Driver Express, Publisher Mobile	Nie dotyczy
Publisher Select	Nie dotyczy
Account Console	Nie dotyczy
Repro Desk	Nie dotyczy

Narzędzia serwisowe i techniczne

Produkty	Status
Usługa zdalna	Nie dotyczy

Potwierdzono występowanie luki w zabezpieczeniach procesu generowania klucza RSA w bibliotece kryptograficznej zainstalowanej w drukarkach wielofunkcyjnych oraz drukarkach laserowych i atramentowych firmy Canon dla przedsiębiorstw / małych firm. Poniżej znajduje się pełna lista produktów, których dotyczy problem.

Ryzyko wystąpienia tej luki w zabezpieczeniach polega na możliwości oszacowania przez kogoś klucza prywatnego do użytku z kluczem publicznym RSA z powodu problemów z procesem generowania pary kluczy RSA.
Jeśli para kluczy RSA jest używana w przypadku protokołu TLS lub IPSec i generowana przez bibliotekę kryptograficzną z omawianą luką, ten klucz publiczny RSA może zostać wykorzystany przez osobę trzecią, a nawet sfałszowany.

Do tej pory nie otrzymaliśmy żadnych zgłoszeń dotyczących tej luki w zabezpieczeniach. Użytkownicy mogą mieć pewność, że oprogramowanie układowe produktów, których dotyczy problem, zostanie naprawione.

Jeśli para kluczy RSA została utworzona przez bibliotekę kryptograficzną z tą luką w zabezpieczeniach, po aktualizacji oprogramowania układowego będzie wymagane wykonanie dodatkowych czynności. W zależności od rodzaju urządzenia należy wykonać czynności z sekcji Kroki w celu sprawdzenia klucza i podjąć działania opisane poniżej, aby wykonać działanie naprawcze.

Ponadto nie należy podłączać urządzeń bezpośrednio do Internetu – należy skorzystać z zapory, połączenia przewodowego lub bezpiecznej sieci prywatnej w przypadku używania routera Wi-Fi. Co więcej, należy ustawić prywatny adres IP.

Szczegółowe informacje można znaleźć w części Zabezpieczanie produktów podłączanych do sieci.

Urządzenia wielofunkcyjne dla przedsiębiorstw / małych firm oraz drukarki laserowe i atramentowe, w przypadku których należy podjąć działania.

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300, PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, IR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P

Czynności, które należy wykonać w celu sprawdzenia klucza drukarek atramentowych i wyeliminowania problemu z nim

Oprogramowanie (w tym oprogramowanie układowe) oraz informacje dotyczące pomocy technicznej dot. produktów znajdują się na stronie pomocy technicznej.

Obecnie trwa badanie wpływu luki w zabezpieczeniach „Log4j” https://logging.apache.org/log4j/2.x/security.html na produkty firmy Canon. Będziemy aktualizować ten artykuł w miarę pojawiania się nowych informacji.

W poniższej tabeli przedstawiono status luki w zabezpieczeniach poszczególnych urządzeń i oprogramowania. Sprawdzaj go regularnie.

Produkt	Status/deklaracja
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Nie dotyczy to tych urządzeń.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Remote Support Operator Kit • Content Delivery Service • Device Settings Configurator • Canon Reporting Service Online • OS400 Object Generator • Sterownik CQue • Sterownik SQue	Problem nie dotyczy tego oprogramowania.
Canon Production Printing • PRISMA – systemy tonerów i arkuszy • Drukowanie w trybie ciągłym • Grafika wielkoformatowa • Systemy dokumentacji technicznej	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Deklaracja dotycząca Scan2x i luki w zabezpieczeniach Log4J – scan2x
Cirrato • Cirrato One • Cirrato Embedded	Problem nie występuje.
Compart • DocBridge Suite	Informacje – Compart
Docspro • Kontroler importu • Narzędzie do importowania plików XML • Narzędzie do importowania wiadomości e-mail • Baza wiedzy • Uniwersalna wersja testowa • Advanced PDF Creator • Złącze eksportu do usługi internetowej	Problem nie występuje.
Docuform • Mercury Suite	Problem nie występuje.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Problem nie występuje.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Klient Canon Genius MFP	Luka zero-day w zabezpieczeniach Log4j – Genius Bytes Problem nie występuje
IRIS • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 i 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Ankieta internetowa Discover Assessment Web Survey	Problem nie występuje.
Kofax • PowerPDF • eCopy ShareScan • Robotic Process Automation • Kofax Communication Manager Solution	Produkty Kofax i informacje o luce w zabezpieczeniach Apache Log4j2 – Kofax Problem nie występuje. Dopóki poprawki ShareScan nie będą gotowe, postępuj zgodnie z instrukcjami zawartymi w artykule ShareScan a luka w zabezpieczeniach Log4j (CVE-2021-44228) – Kofax. Dostępne są poprawki. Zobacz artykuł Informacje o możliwości wykorzystania luki w zabezpieczeniach Log4j CVE-2021-44228 w Kofax RPA. Dostępne są poprawki. Zobacz artykuł Luka w zabezpieczeniach log4j w Kofax Communications Manager.
Netaphor • SiteAudit	Zagrożenie dla SiteAudit związane z lukami w zabezpieczeniach | Baza wiedzy Netaphor SiteAudit(TM)
Netikus • EventSentry	Czy Log4Shell Log4j RCE CVE-2021-44228 zagraża EventSentry | EventSentry
Newfield IT • Asset DB	Problem nie występuje.
Objectif Lune • Connect	Wcześniejsze wersje oprogramowania Objectif Lune Connect wykorzystywały moduł log4j, ale został usunięty z oprogramowania w wersji Objectif Lune Connect 2018.1. Luka nie występuje, jeśli używana jest wersja programu Objectif Lune Connect 2018.1 lub nowsza.
OptimiDoc • OptimiDoc	OptimiDoc | Log4j – informacje
Ogólne • Print In City	Problem nie występuje.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) – wpływ na PaperCut | PaperCut
Paper River • TotalCopy	Problem nie występuje.
Ringdale • FollowMe Embedded	Problem nie występuje.
Quadient • Inspire Suite	Informacje dla obecnych klientów – Quadient University a Log4J
T5 Solutions • TG-PLOT/CAD-RIP	Problem nie występuje.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Westpole • Inteligentne zarządzanie drukowaniem	Problem nie występuje.

W funkcji zdalnego interfejsu użytkownika drukarek laserowych i urządzeń wielofunkcyjnych firmy Canon dla małych biur wykryto lukę w zabezpieczeniach XSS. Poniżej podano modele, których dotyczy luka (numer identyfikacyjny luki: JVN # 64806328).

Aby wykorzystać tę lukę, osoba atakująca musi działać w trybie administratora. Mimo że nie było żadnych zgłoszeń dotyczących utraty danych, zalecamy zainstalowanie najnowszego oprogramowania układowego w celu zwiększenia bezpieczeństwa. Aktualizacje są dostępne na stronie https://www.canon-europe.com/support/.

Zaleca się również ustawienie prywatnego adresu IP i utworzenie środowiska sieciowego gwarantującego ustanawianie połączenia za pośrednictwem zapory lub routera Wi-Fi z funkcją ograniczania dostępu do sieci. Więcej informacji na temat środków bezpieczeństwa dotyczących podłączania urządzeń do sieci można znaleźć na stronie https://www.canon-europe.com/support/product-security/.

Dotyczy produktów:

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F

W tym roku wykryto usterkę bufora wydruku systemu Microsoft Windows, która została określona jako „PrintNightmare”. Luka umożliwia hakerom przejęcie kontroli nad systemami Windows użytkowników w pewnych okolicznościach.

Sytuacja może dotyczyć użytkowników urządzeń firmy Canon, ale jest wynikiem błędu w oprogramowaniu firmy Microsoft, a nie problemów z produktami lub oprogramowaniem firmy Canon. Problem dotyczy funkcji bufora wydruku, która jest zainstalowana na każdym serwerze Windows i pulpicie Windows.

Firma Microsoft poinformowała, że luki te zostały usunięte w ramach aktualizacji zabezpieczeń firmy Microsoft z 6 lipca, dostępnej za pośrednictwem usługi Windows Update lub poprzez pobranie i zainstalowanie aktualizacji KB5004945. Microsoft zaleca się natychmiastowe zastosowanie tej aktualizacji przez zespoły IT w celu zapobieżenia włamaniom związanym z tymi lukami. Więcej informacji można znaleźć na stronie https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527.

Zalecamy, aby oprócz zainstalowania aktualizacji udostępnionej przez Microsoft użytkownicy zabezpieczyli swoje systemy poprzez sprawdzenie, czy w następujących ustawieniach rejestru wybrano wartość 0 (zero) lub pozostawiono je niezdefiniowane (uwaga: te klucze rejestru domyślnie nie istnieją i dlatego są już ustawione w bezpieczny sposób). Należy również sprawdzić, czy ustawienia zasad grupy są prawidłowe:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)
• UpdatePromptSettings = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)

Ustawienie w kluczu rejestru „NoWarningNoElevationOnInstall” wartości 1 zmniejsza poziom bezpieczeństwa systemu.

Zaleca się, aby zespół IT nadal monitorował witrynę pomocy technicznej firmy Microsoft w celu sprawdzania, czy wszystkie stosowne poprawki systemu operacyjnego zostały zastosowane.

Po zakończeniu dochodzenia ustaliliśmy, że omawiana luka w zabezpieczeniach nie dotyczy urządzeń imageRUNNER, imageRUNNER ADVANCE ani i-SENSYS. Kontynuujemy dochodzenie w zakresie produktów firmy Canon i będziemy aktualizować ten artykuł w miarę uzyskiwania dalszych informacji.

Federalny urząd ds. bezpieczeństwa informacji (Bundesamt für Sicherheit in der Informationstechnik, BSI) poinformował nas, że implementacja sieci w microMIND jest podatna na różne ataki. Luki te zostały odkryte przez naukowców z „Foresceut Technologies”, Josa Wetzelsa, Stanislava Dashevskyia, Amine Amriego i Daniela dos Santosa.

microMIND wykorzystuje stos sieci uIP o otwartym kodzie źródłowym, https://en.wikipedia.org/wiki/UIP_(micro_IP) używanym przez tysiące firm do umożliwiania obsługi sieci przez ich sprzęt i oprogramowanie. Wykryto, że wykorzystanie tych luk w zabezpieczeniach może umożliwić atak typu „odmowa usługi” (DoS) skutkujący wyłączeniem urządzenia lub zdalnym wykonaniem kodu (RCE) bezpośrednio w interfejsie microMIND. Aby usunąć te luki, firma NT-ware opublikowała nowe oprogramowanie układowe, które eliminuje wszystkie zgłoszone problemy. W chwili pisania niniejszego biuletynu dotyczącego zabezpieczeń nie są znane żadne luki w zabezpieczeniach umożliwiające atak na microMIND.

Nazwa luki / łącze: AMNESIA:33, https://www.forescout.com/amnesia33/

Luki CVE eliminowane przez to oprogramowanie układowe: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437

Luki CVE niezwiązane z implementacją stosu uIP w MicroMIND: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335

Oprogramowanie układowe uniFLOW microMIND, którego dotyczy problem: wersja 2.0.9 lub wcześniejsza albo dostarczone przed październikiem 2020 r.

Eliminacja/działanie: w przypadku posiadania urządzenia microMIND, którego dotyczy problem, należy skontaktować się z przedstawicielem firmy Canon w celu ustalenia terminu przeprowadzenia aktualizacji oprogramowania układowego.

SCADAfence Ltd, izraelska firma zajmująca się bezpieczeństwem cybernetycznym, zwróciła uwagę na lukę w zabezpieczeniach związaną ze stosem protokołu IP, który jest używany przez drukarki laserowe i małe biurowe drukarki wielofunkcyjne firmy Canon. Więcej szczegółów znajdziesz w dokumencie CVE-2020-16849.

Gdy urządzenie jest podłączone, istnieje możliwość zewnętrznego ataku i uzyskania fragmentów książki adresowej lub hasła administratora przez niezabezpieczoną sieć. Należy pamiętać, że w przypadku korzystania z protokołu HTTPS do komunikacji ze zdalnym interfejsem dane użytkownika są zabezpieczane szyfrowaniem.

Do tej pory nie ma potwierdzonych przypadków wykorzystania tych luk w zabezpieczeniach w celu wyrządzenia szkód. Jednak, aby nasi klienci mogli bezpiecznie korzystać z produktów Canon, udostępnimy nowe oprogramowanie układowe dla następujących produktów:

Seria i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW

Seria i-SENSYS LBP
LBP113W
LBP151DW
LBP162DW

Seria imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF

Szczegółowe informacje na temat aktualizacji oprogramowania układowego są dostępne w przewodniku użytkownika.
Podczas korzystania z produktów zaleca się używanie prywatnego adresu IP oraz funkcji sterowania parametrami sieci, takich jak zapora sieciowa lub router Wi-Fi, które mogą ograniczać dostęp do sieci. Dodatkowe wskazówki znajdują się poniżej, w sekcji „Bezpieczeństwo produktów podłączonych do sieci”.

Po sprawdzeniu luki w zabezpieczeniach „Ripple20” nie stwierdzono żadnego problemu z drukarkami firmy Canon.

Hasło zabezpieczające łączność bezprzewodową firmy Canon jest zgodne z aktualnym standardem WPA, ale zdajemy sobie sprawę, że zabezpieczenie zapewniane przez 8-cyfrowe hasło nie jest już uważane za tak silne jak kiedyś. W związku z tym zalecamy, aby w środowiskach, w których bezpieczeństwo bezprzewodowe stanowi problem, takich jak miejsca publiczne, sprzęt firmy Canon zawsze był połączony z infrastrukturą sieci Wi-Fi. Kwestię bezpieczeństwa traktujemy bardzo poważnie. Aktualizujemy konfiguracje zabezpieczeń Wi-Fi w naszych produktach, aby ułatwić dbanie o bezpieczeństwo. Informacje o aktualizacjach będą publikowane na tych stronach. Firma Canon dziękuje serwisowi REDTEAM.PL za zwrócenie uwagi na zmieniający się charakter bezpieczeństwa haseł i jego wpływ na rynek.

Platforma oprogramowania imageRUNNER ADVANCE w wersji 3.8 i nowszych wprowadziła opartą na protokole Syslog (zgodny z wersjami RFC 5424, RFC 5425 i RFC 5426) funkcję przesyłania wiadomości w czasie rzeczywistym. Zwiększa to możliwości rejestrowania i zapewnia lepszy wgląd w zdarzenia dotyczące urządzeń i ich bezpieczeństwa. Wykorzystywane są tu możliwości rejestrowania dostępne w urządzeniach, dzięki którym można łączyć się z serwerem zarządzania informacjami i zdarzeniami dot. bezpieczeństwa (SIEM) lub serwerem Syslog. Udostępniony poniżej dokument „SIEM_spec” zawiera szczegółowe informacje dotyczące typów komunikatów i danych dziennika, które mogą być generowane.

W systemie VxWorks wykryto 11 luk w zabezpieczeniach, określonych jako „URGENT/11” (od CVE-2019-12255 do CVE-2019-12265). Okazało się, że stos TCP/IP IPnet używany w systemie operacyjnym VxWorks był również używany w innych systemach operacyjnych czasu rzeczywistego, co umożliwiło pojawienie się luk w zabezpieczeniach (CVE-2019-12255, CVE-2019-12262 i CVE-2019-12264) w szerszej gamie produktów.

Niektóre starsze modele europejskie mogą być podatne na tę usterkę, ponieważ ustalono, że wykorzystują zagrożony stos protokołu IPnet TCP/IP:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Dziękujemy za używanie produktów firmy Canon.

Międzynarodowy zespół badaczy zwrócił naszą uwagę na lukę w zabezpieczeniach związaną z komunikacją za pośrednictwem protokołu PTP (Picture Transfer Protocol), który jest używany przez aparaty cyfrowe firmy Canon, a także na lukę w zabezpieczeniach związaną z aktualizacjami oprogramowania układowego.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)

Z powodu tych luk w zabezpieczeniach istnieje ryzyko ataku na aparat ze strony osób trzecich, jeśli aparat jest podłączony do komputera lub urządzenia przenośnego przejętego za pośrednictwem niezabezpieczonej sieci.

Na tym etapie nie stwierdzono przypadków, w których te luki w zabezpieczeniach mogłyby wyrządzić szkody, ale aby zapewnić naszym klientom bezpieczne korzystanie z naszych produktów, chcielibyśmy poinformować o następujących obejściach tego problemu.

• Należy upewnić się, że ustawienia zabezpieczeń w urządzeniach podłączonych do kamery, takich jak komputer, urządzenie przenośne czy router, są odpowiednie.
• Nie należy podłączać aparatu do komputera lub urządzenia przenośnego, które jest używane w niezabezpieczonej sieci, na przykład w ogólnodostępnej sieci Wi-Fi.
• Nie należy podłączać aparatu do komputerów lub urządzeń przenośnych, które mogą być narażone na infekcje wirusowe.
• Należy wyłączyć funkcje sieciowe aparatu, gdy nie są używane.
• W przypadku aktualizacji oprogramowania układowego aparatu należy pobrać oficjalne oprogramowanie układowe z witryny firmy Canon.

Rośnie liczba komputerów i urządzeń przenośnych używanych w niezabezpieczonych sieciach (bezpłatnych sieciach Wi-Fi), w przypadku których klienci nie mają pojęcia o poziomie zabezpieczeń. Ponieważ przesyłanie obrazów z aparatu do urządzenia przenośnego za pośrednictwem połączenia Wi-Fi staje się powszechne, udostępnimy aktualizacje oprogramowania układowego poniższych modeli wyposażonych w funkcję Wi-Fi.

Omawiane luki dotyczą następujących cyfrowych lustrzanek i aparatów bezlusterkowych z serii EOS:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 W przypadku używania karty Wi-Fi lub bezprzewodowego przekaźnika danych można ustanowić połączenie Wi-Fi.

^*2 Omawiane luki dotyczą także połączeń Ethernet.

Informacje o aktualizacji oprogramowania układowego poszczególnych produktów będą dostarczane po kolei, począwszy od produktów, w przypadku których zakończono przygotowania.

Instrukcje dotyczące instalacji tej poprawki znajdują się tutaj. 

Dokładamy starań, aby zapewniać bezpieczne rozwiązania naszym klientom. Przepraszamy za wszelkie niedogodności wynikające z zaistniałej sytuacji. W celu uzyskania dalszych informacji dotyczących tego powiadomienia należy skontaktować się z lokalnym biurem firmy Canon, autoryzowanym sprzedawcą lub przedstawicielem pomocy technicznej firmy Canon. W przypadku zauważenia jakichkolwiek podejrzanych działań należy niezwłocznie zgłosić ten fakt opiekunowi klienta i działowi IT.

Ostatnio naukowcy poinformowali o wykryciu luki w zabezpieczeniach protokołów komunikacyjnych używanych przez funkcje faksu niektórych produktów. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Informacje na temat wpływu tych luk na produkty firmy Canon wyposażone w funkcje faksu znajdują się poniżej.

Na podstawie naszego rozeznania poniższe produkty nie są zagrożone, ponieważ nie wykorzystują protokołu faksowania w kolorze G3: modele serii imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP i imageCLASS/i-SENSYS wyposażone w funkcje faksu.

Produkty serii MAXIFY i PIXMA wyposażone w funkcje faksu wykorzystują protokół faksowania w kolorze G3. Jednak nie wykryto żadnego ryzyka związanego z niebezpiecznym kodem wykonywanym za pośrednictwem obwodu faksu ani zagrożenia dla bezpieczeństwa danych zapisanych na tych urządzeniach.

Będziemy monitorować sytuację i podejmiemy działania niezbędne do zapewnienia bezpieczeństwa naszych urządzeń.

Ostatnio podano do publicznej wiadomości informacje o lukach w zabezpieczeniach niektórych procesorów Intel, AMD i ARM, które korzystają z przetwarzania predykcyjnego w celu zwiększenia wydajności. Te luki mogą umożliwić osobie atakującej uzyskanie nieupoważnionego dostępu do obszarów prywatnych buforowanej pamięci.

Określono i nazwano dwa warianty luk, które wykorzystują różne techniki do wykorzystania funkcji przetwarzania predykcyjnego w dotkniętych tym problemem procesorach. Są one luki CVE-2017-5715 i CVE-2017-5753: „Spectre” oraz CVE-2017-5754: „Meltdown”.

Luka może dotyczyć poniższych zewnętrznych kontrolerów firmy Canon. Wprawdzie obecnie nie są znane żadne sposoby wykorzystania tych luk, to są przygotowywane środki zaradcze, dzięki którym klienci będą mogli korzystać z naszych produktów bez obaw.

ColorPASS: 
GX300 2.0, GX300 2.1, GX400 1.0, GX500 1.1

imagePASS: 
U1 1.1, U1 1.1.1, U2 1.0 
Y1 1.0, Y2 1.0

Serwer imagePRESS-CR: 
A7000 2.1, A7000 3.0, A7300 1.0, A7500 2.1, A8000 1.1

Serwer imagePRESS: 
A1200 1.0, A1200 1.1, A1300 1.0, A2200 1.0, A2200 1.1, A2300 1.0, A3200 1.0, A3200 1.1, A3300 1.0 
B4000 1.0, B4100 1.0, B5000 1.0, B5100 1.0 
F200 1.21, H300 1.0 
J100 1.21, J200 1.21 
K100 1.0, K200 1.0 
Q2 2.0, Z1 1.0

Omawiane luki mogą dotyczyć poniższych usług firmy Canon. Wprawdzie obecnie nie są znane żadne sposoby wykorzystania tych luk, jednak do końca lutego 2018 r. opracowano środki zaradcze.

MDS Cloud

Wszystkie jedno- i wielofunkcyjne laserowe drukarki firmy Canon i związane z nimi oprogramowanie, z wyjątkiem pozycji wymienionych powyżej, nie są zagrożone tymi lukami w wyniku działania jakiegokolwiek znanego procesu. Klienci nadal mogą korzystać z naszych produktów bez obaw.

Firma Canon nieustannie dba o zapewnienie najwyższego poziomu bezpieczeństwa w przypadku wszystkich swoich produktów i usług. Kwestię bezpieczeństwa danych naszych klientów traktujemy bardzo poważnie, a ich ochrona jest dla nas priorytetem.

Niedawno pewien naukowiec poinformował o luce w zabezpieczeniach znanej jako KRACKs, występującej w standardowym protokole szyfrowania WPA2 sieci Wi-Fi. Ta luka w zabezpieczeniach umożliwia osobie atakującej celowe przechwycenie transmisji bezprzewodowej pomiędzy klientem (terminal wyposażony w funkcję Wi-Fi) i punktem dostępu (np. routerem) w celu wykonania potencjalnie złośliwych działań. Z tego powodu niniejsza luka nie może zostać wykorzystana przez osoby będące poza zasięgiem sygnału Wi-Fi ani osoby w zdalnej lokalizacji i korzystające z połączenia internetowego. 

Jak na razie nie mamy potwierdzonych informacji o tym, że użytkownicy produktów Canon napotkali jakiekolwiek problemy w wyniku tej luki w zabezpieczeniach. Jednak w celu zapewnienia spokoju ducha klientom korzystającym z naszych produktów zalecamy podjęcie następujących środków zapobiegawczych: 
• Należy używać kabla USB lub Ethernet do bezpośredniego łączenia zgodnych urządzeń z siecią. 
• Należy szyfrować dane przesyłane z urządzeń, które umożliwiają konfigurację szyfrowania (TLS/IPSec). 
• Należy używać fizycznych nośników, np. kart SD, ze zgodnymi urządzeniami. 
• Należy korzystać z opcji bezpośredniego połączenia bezprzewodowego i połączenia bezpośredniego w przypadku zgodnych urządzeń.

Ponieważ procedury i zakres dostępnych funkcji zależą od urządzenia, należy zapoznać się z instrukcją obsługi, która zawiera szczegółowe informacje. Zalecamy również podjęcie odpowiednich kroków w przypadku takich urządzeń jak komputery i smartfony. Informacje o odpowiednich środkach w przypadku danego urządzenia można uzyskać od jego producenta.

Znamy artykuły o badaniach prowadzonych przez University Alliance Ruhr dotyczących potencjalnej luki w zabezpieczeniach drukarek sieciowych, którą można wykorzystać za pośrednictwem języka programowania PostScript stosowanego powszechnie w naszej branży. W badaniach nie przetestowano żadnych urządzeń firmy Canon.

Firma Canon stale dba o najwyższy poziom bezpieczeństwa wszystkich swoich produktów i rozwiązań, w tym drukarek sieciowych. Kwestię bezpieczeństwa danych naszych klientów traktujemy bardzo poważnie, a ich ochrona jest dla nas priorytetem. Nasz poradnik dotyczący poprawy zabezpieczeń w urządzeniach wielofunkcyjnych zawiera opis i porady dotyczące najlepszych ustawień konfiguracyjnych umożliwiających bezpieczną eksploatację.

Informacje dotyczące zabezpieczeń konkretnych produktów Canon i procedur konfiguracyjnych zostały przedstawione poniżej. Uwaga: informacje są dostępne tylko w języku angielskim.

Drukarki atramentowe (seria PIXMA) i biznesowe drukarki atramentowe (seria MAXIFY) – 530 KB	Kontrolery Fiery (imagePRESS Server, ColorPASS, imagePASS) – 1,2 MB	Wielkoformatowa drukarka atramentowa (seria imagePROGRAF) – 1,15 MB	Drukarki laserowe i urządzenia wielofunkcyjne dla małych biur (serie LBP i MF) – 1,01 MB
Urządzenia wielofunkcyjne do druku biurowego i produkcyjnego (serie imageRUNNER, imageRUNNER ADVANCE i imagePRESS) – 754 KB	Kamery sieciowe – 2,6 MB	Przewodnik po zabezpieczeniach urządzeń wielofunkcyjnych – 2,03 MB	Skanery sieciowe (seria imageFORMULA) – 602 KB
Canon imageRUNNER – macierz zabezpieczeń – 545 KB	Przegląd zabezpieczeń urządzeń firmy Canon – 1,98 MB	Raport dotyczący zabezpieczeń w urządzeniach imageRUNNER ADAVANCE i imageRUNNER ADVANCE DX – 4,49 MB	SIEM_spec (imageRUNNER ADVANCE) – 84 KB
Raport dotyczący zabezpieczeń SMARTshield w urządzeniach ColorWave i PlotWave – 1,01 MB

Firma Canon kładzie bardzo nacisk na bezpieczeństwo informacji w kontekście ochrony poufności, a także integralności i dostępności pisemnych, wypowiadanych i elektronicznych informacji z myślą o zagwarantowaniu następujących kwestii:

• Poufność – dbałość o to, aby informacje były dostępne tylko dla upoważnionych osób
• Integralność – zagwarantowanie dokładności i kompletności informacji oraz metod przetwarzania
• Dostępność – zapewnienie stałego dostępu do informacji autoryzowanym użytkownikom

Certyfikat ISO 27001 świadczy o tym, że firma Canon Europe wdrożyła systemy ochrony informacji i danych firmowych zarówno w kontekście pracy w trybie online, jak i w trybie offline. Mając certyfikat ISO 27001, firma Canon Europe może potwierdzić, że procesy zabezpieczeń stosowane w poszczególnych obszarach, od rozwoju do dostawy, zostały poddane zewnętrznej ocenie i uznane za spełniające międzynarodowy standard.

	Firma Canon Europe otrzymała certyfikat ISO 27001, który stanowi dowód przestrzegania światowych norm w zakresie systemów zarządzania bezpieczeństwem informacji. Obejmuje on wszystkie aspekty bezpieczeństwa informacji – od zarządzania ryzykiem i kontrolami aż po zarządzanie zdarzeniami.

Nasz system zarządzania bezpieczeństwem informacji (ISMS) obejmuje następujące obszary:

• zasady bezpieczeństwa
• organizacja bezpieczeństwa informacji
• zarządzanie aktywami
• bezpieczeństwo zasobów ludzkich
• bezpieczeństwo fizyczne i środowiskowe
• zarządzanie komunikacją i operacjami
• kontroli dostępu
• systemy informacyjne ds. zakupów, rozwoju i konserwacji
• zarządzanie incydentami dot. bezpieczeństwa informacji
• zarządzanie ciągłością działalności
• zgodność z przepisami

Zespół Canon EMEA PSIRT (Product Security Incident Response Team) jest częścią globalnej organizacji Canon PSIRT i odpowiada za reagowanie na luki w zabezpieczeniach produktów, systemów i usług firmy Canon w regionie EMEA. Stosujemy najlepsze praktyki w branży, aby podnieść poziom bezpieczeństwa produktów i zapewnić naszym klientom bardzo bezpieczne produkty.

Zespół Canon EMEA PSIRT chętnie przyjmuje informacje dotyczące wszelkich podejrzeń dotyczących luk w zabezpieczeniach produktów. Otrzymywane informacje są obsługiwane zgodnie z naszymi zasadami ujawniania informacji o lukach w zabezpieczeniach.

Jeśli uważasz, że doszło do wykrycia problemu z bezpieczeństwem produktu firmy Canon lub do incydentu związanego z bezpieczeństwem, możesz skontaktować się z zespołem ds. reagowania na incydenty związane z bezpieczeństwem produktu firmy Canon w regionie EMEA, wysyłając wiadomość e-mail na adres product-security@canon-europe.com lub korzystając z formularza zgłoszenia luki w zabezpieczeniach produktu. Uwzględnij szczegółowy opis problemu z bezpieczeństwem oraz dokładną nazwę produktu, wersję oprogramowania i charakter problemu. Podaj również adres e-mail i numer telefonu, którego możemy użyć do skontaktowania się z Tobą, jeśli będziemy potrzebować dodatkowych informacji.

Należy pamiętać, że ten adres e-mail i ten formularz służą wyłącznie do zgłaszania problemów dotyczących luk w zabezpieczeniach produktów, a nie ogólnych problemów związanych z pomocą techniczną. Aby uzyskać pomoc w innych sprawach dotyczących produktu, odwiedź nasze strony pomocy technicznej.

Zespół ds. bezpieczeństwa informacji firmy Canon w regionie EMEA działa na rzecz ochrony klientów i pracowników firmy Canon. W ramach tych działań zachęcamy badaczy zajmujących się kwestiami bezpieczeństwa do wspomagania firmy Canon poprzez aktywne zgłaszanie luk i słabości w zabezpieczeniach. Wyniki ustaleń można zgłaszać na stronie appsec@canon-europe.com.

Uwzględnione domeny

Oto lista domen objętych zasadami firmy Canon dotyczącymi ujawniania luk w zabezpieczeniach.

*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Luki w zabezpieczeniach można zgłaszać pocztą e-mail: appsec@canon-europe.com. W wiadomości należy podać zwięzły opis szczegółów związanych z wykrytymi słabościami oraz przedstawić ewentualne dowody występowania problemów, pamiętając, że wiadomość zostanie przeanalizowana przez specjalistów ds. bezpieczeństwa firmy Canon. W szczególności należy umieścić w wiadomości następujące informacje:

• Rodzaj luki
• Instrukcje krok po kroku dotyczące sposobu odtworzenia usterki
• Podejście badacza
• Cały adres URL
• Obiekty (np. filtry lub pola danych), które mogą mieć związek z luką
• Bardzo przydatne są zrzuty ekranu.
• W zgłoszeniu słabości zabezpieczeń należy podać swój adres IP. Te dane będą mieć charakter poufny i posłużą do prześledzenia czynności testowych zgłaszającego i przejrzenia naszych rejestrów.

Nie akceptujemy raportów z automatycznych programów skanujących.

Nieakceptowane elementy:

• Luki związane z atakami wolumetrycznymi / DoS (czyli zarzucanie usługi nadmierną liczbą żądań)
• Słabości konfiguracji TLS (np. „słaba” obsługa pakietu szyfrów, obsługa TLS1.0, sweet32 itd.)
• Problemy dotyczące weryfikacji adresów e-mail używanych do tworzenia kont użytkowników związanych z myid.canon
• Ataki Self-XSS
• Skrypty zawartości mieszanej na stronie www.canon.*
• Niebezpieczne pliki cookie na stronie www.canon.*
• Ataki CSRF i CRLF, których wpływ jest minimalny
• XSS nagłówka hosta HTTP bez działającego modelu koncepcyjnego
• Niepełne/brakujące zabezpieczenia SPF/DMARC/DKIM
• Ataki socjotechniczne
• Błędy zabezpieczeń w zintegrowanych z firmą Canon witrynach zewnętrznych
• Techniki wyliczania danych sieciowych (np. przechwytywanie banerów, występowanie publicznie dostępnych stron diagnostycznych serwera)
• Raporty wskazujące, że nasze usługi nie są w pełni zgodne z „najlepszymi praktykami”

Specjaliści ds. bezpieczeństwa informacji firmy Canon zbadają zgłoszenie i skontaktują się ze zgłaszającym w ciągu 5 dni roboczych. 

Poufność danych

Dane osobowe zostaną użyte wyłącznie w celu podjęcia działań związanych ze zgłoszeniem. Nie udostępnimy danych osobowych innym osobom bez wyraźnej zgody zgłaszającego.

Potencjalnie nielegalne działania

Osoba odkrywająca i badająca lukę w zabezpieczeniach może podejmować działania, które są nielegalne i jako takie podlegają karze. W przypadku stosowania się do poniższych zasad dotyczących zgłaszania słabości naszych systemów informatycznych nie zgłosimy wykroczenia władzom i nie będziemy domagać się zadośćuczynienia.

Trzeba jednak pamiętać, że to prokuratura – a nie firma CANON – podejmuje decyzję o ściganiu, nawet jeśli my nie zgłosimy zdarzenia odpowiednim władzom. Oznacza to, że nie możemy zagwarantować zgłaszającemu, że nie będzie ścigany za popełnienia przestępstwa karalnego w trakcie analizowania słabości systemu.

Krajowe centrum bezpieczeństwa cybernetycznego przy Ministerstwie Bezpieczeństwa i Sprawiedliwości opracowało wytyczne dotyczące zgłaszania słabości systemów informatycznych. Nasze zasady opierają się na tych wytycznych. (https://english.ncsc.nl/)

Zasady ogólne

Należy postępować z najwyższą ostrożnością. Badając sprawę, należy stosować wyłącznie metody lub techniki niezbędne do znalezienia lub wykazania słabości systemu.

• Wykrytych słabości nie wolno używać do celów innych niż prowadzenie badania.
• Nie wolno używać socjotechnik w celu uzyskania dostępu do systemu.
• Nie wolno instalować żadnych mechanizmów typu „tylne wejście”, nawet w celu zademonstrowania usterki systemu. Takie mechanizmy zmniejszają bezpieczeństwo systemu.
• Nie wolno zmieniać żadnych informacji w systemie ani ich usuwać. Jeśli badacz chce skopiować informacje w celu przeprowadzenia analizy, powinien skopiować tylko niezbędną ilość danych. Jeśli wystarczy do tego jeden wpis, należy na tym poprzestać.
• Nie wolno w żaden sposób modyfikować systemu.
• Do systemu można przeniknąć tylko wtedy, gdy jest to bezwzględnie konieczne. Jeśli badaczowi uda się przeniknąć do systemu, nie może umożliwiać dostępu innym osobom.
• Do uzyskania dostępu do systemów nie wolno używać ataków typu brute force, takich jak wielokrotne wprowadzanie haseł.
• Do uzyskania dostępu nie wolno używać ataków typu DoS.

Czy otrzymam nagrodę za badanie?

Nie, badaczowi nie przysługuje prawo do wynagrodzenia.

Czy mogę upublicznić stwierdzone przeze mnie słabości i moje badanie?

Nie wolno upubliczniać słabości systemów informatycznych firmy Canon ani przeprowadzonych badań bez uprzedniego skonsultowania się z nami za pośrednictwem poczty e-mail: appsec@canon-europe.com. Możemy współpracować, aby zapobiegać nieuprawnionemu wykorzystywaniu danych przez przestępców. Skonsultuj się z naszym zespołem ds. bezpieczeństwa informacji, aby ustalić treść i zasady publikacji.

Czy mogę anonimowo zgłosić słabość systemu?

Tak, można to zrobić. Zgłaszając słabość systemu, badacz nie musi podawać swojego imienia i nazwiska ani danych kontaktowych. Badacz musi jednak pamiętać, że nie będziemy mogli omówić z nim dalszych działań, np. związanych ze zgłoszeniem lub dalszą współpracą.

Do czego nie należy używać tego adresu e-mail?

Adres appsec@canon-europe.com nie jest przeznaczony do wykonywania następujących czynności:

• Przesyłanie skarg dotyczących produktów lub usług firmy Canon
• Przesyłanie pytań lub skarg dotyczących dostępności stron internetowych firmy Canon
• Zgłaszanie oszustw lub podejrzeń popełnienia oszustwa
• Zgłaszanie fałszywych wiadomości e-mail lub wiadomości służących do wyłudzania informacji
• Zgłaszanie wirusów