
*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Gaminio sauga

Šiame puslapyje rasite svarbios informacijos apie „Canon“ saugą

Naujienos

Nustatytas tam tikrų gamybinių spausdintuvų ir biuro / mažo biuro daugiafunkcių spausdintuvų pažeidžiamumas. Šis pažeidžiamumas gali suteikti galimybę administratoriaus teises turinčiai trečiajai šaliai pasiekti neskelbtiną informaciją gaminyje siunčiant specialiai sukurtas užklausas per naršyklės nuotolinio valdymo funkciją.

Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti gaminio saugumą, savo klientams patariame įdiegti naujausią programinę aparatinę įrangą, skirtą toliau pateiktiems paveiktiems modeliams.

Mums labai svarbus yra mūsų klientų spausdinimo infrastruktūros saugumas, todėl rekomenduojame laikytis toliau pateiktų rekomendacijų.

Neprijunkite gaminių tiesiai prie viešųjų interneto tinklų. Vietoj to, prisijungdami prie interneto, naudokite privatų IP adresą aplinkoje, kurioje internetas gali būti pasiektas iš saugaus privataus tinklo, sukurto naudojant užkardos gaminius, laidinius kelvedžius arba „Wi-Fi“ kelvedžius.

Pakeiskite numatytąjį gaminio slaptažodį nauju slaptažodžiu.

Nustatykite administratoriaus ir bendruosius naudotojo ID bei slaptažodžius.

Įsitikinkite, kad slaptažodžius ir kitus panašius įvairių funkcijų nustatymus pakankamai sunku atspėti.

Jei gaminys turi vieno ar kelių veiksnių autentifikavimo funkcijas, naudokite jas galutinio vartotojo, kuris naudoja gaminį, tapatybei patvirtinti.

Atkreipkite dėmesį į fizinio saugumo poreikius, įskaitant tuos, kurie yra susiję su gaminio vieta ir pan.

Daugiau informacijos apie gaminių apsaugą jungiantis prie tinklo žr. čia.

Be pirmiau minėtų priemonių, šioms tam tikrų produktų problemoms spręsti skirta programinė aparatinė įranga bus pateikta vykdant automatinius atnaujinimus arba bus pateikiama mūsų svetainėse. Patikrinkite paveiktus modelius ir apsilankykite palaikymo puslapyje, kad rastumėte programinės aparatinės įrangos, programinės įrangos ir produkto palaikymo informacijos.

Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumas bus aptiktas kituose gaminiuose, mes atnaujinsime šį straipsnį.

CVE / CVSS

CVE-2026-1789: naršyklės nuotolinio valdymo sąsajos pažeidžiamumas gali suteikti galimybę naudojant meistriškai parengtas užklausas administratoriui pasiekti neskelbtiną informaciją įrenginyje; šis pažeidžiamumas turi įtakos tam tikriems gamybiniams spausdintuvams ir biuro / mažo biuro daugiafunkciams spausdintuvams. CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N Bazinis įvertinimas: 6,9.

Už šio pažeidžiamumo nustatymą „Canon“ norėtų padėkoti šiems tyrėjams:

CVE-2026-1789: Hengrui Wang ir Ranganatha Rao Sridhar, kurie dirba „Praetorian“

Atnaujinimų istorija

2026 m. balandžio 23 d.: sukurta.
Aprašymas:

„OpenSSL“ nustatė pažeidžiamumą, dėl kurio piktavalis naudotojas gali pateikti kriptografinių pranešimų sintaksės pranešimą su per dideliu inicijavimo vektoriumi (IV). „OpenSSL“ nukopijuoja šį IV į fiksuoto dydžio rietuvės buferį nepatikrindamas jo ilgio, todėl susidaro rietuvės buferio perpilda. Šis pažeidžiamumas turi įtakos „OpenSSL“ analizuojant „CMS AuthEnvelopedData“ ir „EnvelopedData“ struktūras, kurios naudoja autentifikuotą šifravimą su susietųjų duomenų (AEAD) šifrais, pvz., AES-GCM.

Galimas šio pažeidžiamumo poveikis yra:

Paslaugos trikdymas (DoS) dėl programos gedimų

Galimas nuotolinis kodo vykdymas, atsižvelgiant į platformos rizikos mažinimo priemones

Įsilaužėliui nereikia jokios galiojančios rakto medžiagos, nes rietuvės buferio perpilda įvyksta prieš autentifikavimą

IRIS rimtai atsižvelgė į šį pažeidžiamumą ir patvirtino, kad vienas iš jos produktų naudoja „OpenSSL“. Paveiktas produktas yra „IRIS XMailFetcher“.

Paveiktos versijos:

„IRIS XMailFetcher“: 5.0.29 ir ankstesnės versijos.

Taisymas / mažinimas:

IRIS išleido „IRIS XMailFetcher“ 5.0.30 versiją – saugumo atnaujinimą, kuriuo pašalinamas šis pažeidžiamumas (CVE-2025-15467).

Šiame leidime nėra papildomų pakeitimų ar naujų funkcijų, jis yra skirtas tik šiai problemai išspręsti.

Primygtinai rekomenduojame kuo greičiau atnaujinti versiją į 5.0.30 versiją. Jei reikia pagalbos dėl atnaujinimo, kreipkitės į mūsų palaikymo komandą.

Pataisymą galima rasti IRIS partnerių portalo „Atsisiuntimų centre“, o informaciją – skiltyje „Techninės naujienos“ su antrašte „IRIS XMailFetcher 5.0.30 - CVE-2025-15467 FIX“.

Atkreipkite dėmesį, kad IRIS išsprendė šią problemą 2026 m. vasario 19 d. išleista pataisa.

Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti produkto saugumą, rekomenduojame visiems klientams įdiegti naujausią IRIS „XMailFetcher“ 5.0.30 versiją.

CVE / CVSS:

CVE-2025-15467: „OpenSSL“ rietuvės buferio perpildos pažeidžiamumas, turintis įtakos „CMS AuthEnvelopedData“ ir „EnvelopedData“ pranešimų analizavimui. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.
„Windows“ skirtoje paslaugų programoje „IJ Scan“ buvo nustatytas pažeidžiamumas. Šis pažeidžiamumas atsiranda, nes vykdomasis „Windows“ tarnybos kelias nėra įrašytas į kabutes. Jei failo kelyje yra tarpas, vietoje esantis įsibrovėlis gali tai išnaudoti pasinaudodamas keliu su tarpais ir potencialai sudarydamas galimybę vykdyti kenkėjišką failą su paveiktos tarnybos teisėmis.
Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekdami padidinti produkto saugumą, savo klientams patariame įdiegti naujausią MP tvrkyklę, skirtą toliau pateiktiems paveiktiems modeliams.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumas bus aptiktas kituose gaminiuose, mes atnaujinsime šį straipsnį.
Atkreipkite dėmesį, kad paveikta programinė įranga yra paslaugų programa „IJ Scan“, skirta „Windows“ 1.1.2–1.5.0 versijai (įskaitant abi versijas). Prašome peržiūrėti paveiktus modelius.
MP tvarkykles, kuriose yra atnaujinta programinė įranga, sprendžianti šią problemą, rasite palaikymo svetainėse. Patariame savo klientams įdiegti naujausią MP tvarkyklę ir patvirtinti, kad yra įdiegta ši programinės įrangos versija: paslaugų programa „IJ Scan“, skirta „Windows“ 1.6.0 ar naujesnėms versijoms.

CVE / CVSS
CVE-2026-1585: „Windows“ tarnybos vykdymo kelio be kabučių pažeidžiamumas „Windows“ skirtoje paslaugų programoje „IJ Scan“ gali suteikti vietos įsibrovėliui galimybę vykdyti kenkėjišką failą su paveiktos tarnybos teisėmis.
CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 8.4.
„Canon“ norėtų padėkoti šiam tyrėjui už toliau nurodyto pažeidžiamumo nustatymą.
CVE-2026-1585: EnivalChen
Nustatyti keli pažeidžiamumai, susiję su tam tikrais mažam biurui skirtais daugiafunkciais spausdintuvais ir lazeriniais spausdintuvais.

Šie pažeidžiamumai rodo galimybę, kad produktą tiesiogiai prijungus prie interneto nenaudojant maršrutizatoriaus (laidinio arba „Wi-Fi“), neautentifikuotas nuotolinis užpuolikas gali sukelti buferio perpildymą arba negaliojantį išlaisvinimą, dėl kurio gali būti savavališkai vykdomas kodas ir (arba) atsisakymo teikti paslaugas (DoS) ataka.

Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti gaminio saugumą, savo klientams patariame įdiegti naujausią programinę aparatinę įrangą, skirtą toliau pateiktiems paveiktiems modeliams. Taip pat rekomenduojame klientams nustatyti savo gaminiams privatų IP adresą ir sukurti tinklo aplinką su užkarda arba laidiniu / „Wi-Fi“ kelvedžiu, galinčiu apriboti tinklo prieigą.

Daugiau informacijos apie gaminių apsaugą prisijungus prie tinklo rasite apsilankę dalyje Gaminio sauga.

Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumų būtų aptikta kituose gaminiuose, mes atnaujinsime šį straipsnį.

Prašome peržiūrėti paveiktus modelius.

Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.

CVE / CVSS

CVE-2025-14231: WSD spausdinimo užduočių apdorojimo buferio perpilda mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14232: Buferio perpilda vykdant XPS failo XML apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14233: negaliojantis išlaisvinimas vykdant CPCA failų ištrynimo apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14234: buferio perpilda vykdant CPCA sąrašo apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14235: buferio perpilda vykdant XPS šrifto fpgm duomenų apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14236: buferio perpilda vykdant adresų knygelės atributų žymų apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

CVE-2025-14237: buferio perpilda vykdant XPS šriftų analizavimo apdorojimą mažuose biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Bazinis įvertinimas: 9.3.

„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:

CVE-2025-14231: „STARLabs“ už darbą su „Trend Zero Day Initiative“

CVE-2025-14232: „GMO Cybersecurity by Ierae, Inc.“ už darbą su „Trend Zero Day Initiative“

CVE-2025-14233: „PetoWorks“ komandai už darbą su „Trend Zero Day Initiative“

CVE-2025-14234: ANHTUD komandai už darbą su „Trend Zero Day Initiative“

CVE-2025-14235: PHP HOOLIGANS už darbą su „Trend Zero Day Initiative“

CVE-2025-14236: „DEVCORE Intern Program“ už darbą su „Trend Zero Day Initiative“

CVE-2025-14237: „Neodyme“ komandai už darbą su „Trend Zero Day Initiative“

Atnaujinimų istorija

2026 m. kovas 06 d.: atnaujintas paveiktų modelių sąrašas.
2026 m. vasario 27 d.: atnaujintas paveiktų modelių sąrašas.
2026 m. vasario 20 d.: atnaujintas paveiktų modelių sąrašas.
2026 m. vasario 13 d.: atnaujintas paveiktų modelių sąrašas.
2026 m. sausio 15 d.: sukurta.
Aprašymas:
„Therefore Corporation GmbH“ neseniai sužinojo, kad „Therefore™ Online“ ir „Therefore™ On-Premises“ yra paskyros suklastojimo pažeidžiamumas. Piktavalis naudotojas gali potencialiai apsimesti žiniatinklio paslaugų svetainės paskyra arba paslaugos paskyra, naudojant API, kai jungiamasi prie „Therefore™“ serverio. Jei piktavalis naudotojas įgauna šią apsimetusio naudotojo prieigą, tuomet jis gali pasiekti „Therefore™“ saugomus dokumentus. Šis apsimetimas yra taikomosios programos lygmens (todėl prieigos lygio), o ne operacinės sistemos lygmens.

Paveiktos versijos:
visos „Therefore™ Online“ ir „Therefore™ On-Premises“ versijos.

Taisymas / mažinimas:
„Therefore™ Online“ sistemų atveji klientai jau gavo pataisas. Naudotojams ir administratoriams nereikia imtis jokių papildomų veiksmų.
„Therefore™ On-Premises“ sistemų atveju galima įdiegti karštąją pataisą. Primygtinai rekomenduojame pataisyti visas „Therefore™ On-Premises“ sistemas, neatsižvelgiant į versiją. Norėdami gauti daugiau informacijos, prašome kreiptis į vietinį „Canon“ biurą arba įgaliotąjį pardavimo partnerį.
Atkreipkite dėmesį, kad „Therefore Corporation GmbH“ išsprendė šią problemą 2025 m. spalio 20 d. išleidusi karštąją pataisą.

CVE / CVSS:
CVE-2025-11843: „Therefore™ Online“ ir „Therefore™ On-Premises“ yra apsimestinės paskyros problema, kuri potencialiai gali leisti užpuolikui pasiekti visus saugomus duomenis.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N Bazinis įvertinimas: 8.8.
Aptikti įvairūs pažeidžiamumai tam tikrose gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcinių spausdintuvų ir lazerinių spausdintuvų tvarkyklėse. Šie pažeidžiamumai gali leisti pasiekti atmintį peržengiant ribas ir (arba) vykdyti aptarnavimo perkrovos (DoS) atakas, kai spausdinimą apdoroja kenkėjiška programa.

CVE / CVSS

CVE-2025-7698: skaitymo už ribų pažeidžiamumai paveiktų spausdintuvo tvarkyklių spausdinimo apdorojimo metu.

CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 5.9).

CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:L (Bazinis įvertinimas: 5.9).

CVE-2025-9903: rašymo už ribų pažeidžiamumai paveiktų spausdintuvo tvarkyklių spausdinimo apdorojimo metu.

CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 5.9).

CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:L (Bazinis įvertinimas: 5.9).

CVE-2025-9904: nepaskirtos atminties prieigos pažeidžiamumas paveiktų spausdintuvo tvarkyklių spausdinimo apdorojimo metu.

CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 6.9).

CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Bazinis įvertinimas: 5.3).

Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:

CPE2025-005 Pažeidžiamumų sprendimas tam tikroms gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklėms

„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:

CVE-2025-7698: Joseph Eastoe už darbą su „Microsoft Offensive Research and Security Engineering“ (MORSE) komanda

Atnaujinimų istorija

2026 m. kovo 13 d.: Nuorodoje pridėtos paveiktos spausdintuvų tvarkyklės (LIPS4 spausdintuvo tvarkyklė, LIPSLX spausdintuvo tvarkyklė, UFR II spausdintuvo tvarkyklė, PS spausdintuvo tvarkyklė ir PCL6 spausdintuvo tvarkyklė)
2026 m. sausio 15 d.: nuorodoje pridėtos paveiktos spausdintuvų tvarkyklės (UFRII LT spausdintuvo tvarkyklė, CARPS2 spausdintuvo tvarkyklė ir bendroji FAKSO tvarkyklė)
2025 m. rugsėjo 25 d.: sukurta
„Canon U.S.A., Inc.“ neseniai sužinojo, kad „Canon EOS Webcam Utility Pro“, skirta MAC OS, turi netinkamų katalogų leidimų pažeidžiamumą. Norint išnaudoti šį galimą pažeidžiamumą, pakenkti siekiančiam vartotojui reikalinga administratoriaus prieiga. Įsilaužėlis galėtų modifikuoti katalogą, dėl to galėtų būti vykdomas kodas ir galiausiai padidėti privilegijos.
Nors mes negavome jokių pranešimų apie išnaudojimą, rekomenduojame peržiūrėti nuorodą su saugos patarimais.
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
Saugos patarimas: „Canon EOS Webcam Utility Pro“, skirtos MAC OS, pažeidžiamumo poveikio mažinimas / sprendimas
Nustatytas „passback“ tipo pažeidžiamumas, galintis turėti įtakos kai kuriems „Canon“ gamybiniams spausdintuvams, biurams / mažiems biurams skirtiems daugiafunkciams spausdintuvams ir lazeriniams spausdintuvams. Šis pažeidžiamumas gali leisti pakenkti norinčiam veikėjui, jei jis gali gauti administratoriaus teises gaminyje, gauti autentifikavimo informaciją, pavyzdžiui, gaminyje sukonfigūruotus SMTP / LDAP ryšius.

Mums labai svarbus yra mūsų klientų spausdinimo infrastruktūros saugumas, todėl rekomenduojame laikytis toliau pateiktų rekomendacijų.
Neprijunkite gaminių tiesiai prie viešųjų interneto tinklų. Vietoj to, prisijungdami prie interneto, naudokite privatų IP adresą aplinkoje, kurioje internetas gali būti pasiektas iš saugaus privataus tinklo, sukurto naudojant užkardos gaminius, laidinius kelvedžius arba „Wi-Fi“ kelvedžius.
Pakeiskite numatytąjį gaminio slaptažodį nauju slaptažodžiu.
Nustatykite administratoriaus ir bendruosius naudotojo ID bei slaptažodžius.
Įsitikinkite, kad slaptažodžius ir kitus panašius įvairių funkcijų nustatymus pakankamai sunku atspėti.
Jei gaminys turi vieno ar kelių veiksnių autentifikavimo funkcijas, naudokite jas galutinio vartotojo, kuris naudoja gaminį, tapatybei patvirtinti.
Atkreipkite dėmesį į fizinio saugumo poreikius, įskaitant tuos, kurie yra susiję su gaminio vieta ir pan.

Daugiau informacijos apie gaminių apsaugą jungiantis prie tinklo žr. čia.

Siekiant apsaugoti nuo šio pažeidžiamumo, taip pat buvo įdiegti programinės įrangos atnaujinimai daugumai mūsų įrenginių. Patikrinkite paveiktus modelius ir apsilankykite palaikymo puslapyje, kad rastumėte programinės aparatinės įrangos, programinės įrangos ir gaminio palaikymo informacijos arba kreipkitės į vietinį klientų aptarnavimo skyrių.

CVE / CVSS

CVE-2025-3078:
„Passback“ pažeidžiamumas, susijęs su gamybiniais spausdintuvais ir daugiafunkciais biuro spausdintuvais.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (Bazinis įvertinimas: 6.3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (Bazinis įvertinimas: 8.7).

CVE-2025-3079:
„Passback“ pažeidžiamumas, susijęs su biurams / mažiems biurams skirtais daugiafunkciais spausdintuvais ir lazeriniais spausdintuvais.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (Bazinis įvertinimas: 6.3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (Bazinis įvertinimas: 8.7).

„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:
CVE-2025-3078: Christopher Haller už darbą su „Centripetal“.
CVE-2025-3079: nepriklausomas saugumo tyrėjas Vladislavas Volozhenko.
Kai kuriose spausdintuvų tvarkyklėse aptiktas pažeidžiamumas dėl peržengiamų ribų, galintis turėti įtakos daugeliui „Canon“ gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų. Dėl šio pažeidžiamumo gali kilti saugos problemų, įskaitant negalėjimą spausdinti, jei pažeidžiamo spausdintuvo tvarkyklė apdorotų kenkėjišką spausdinimo užduotį. Taip pat yra galimybė, kad bus vykdomas savavališkas kodas, kai spausdinimą apdorotų paveikta spausdinimo tvarkyklė.

Mums labai svarbus yra mūsų klientų spausdinimo infrastruktūros saugumas, todėl „Canon Europe“ verslo palaikymo puslapiuose ir vietiniuose puslapiuose dabar yra pasiekiama atnaujinta spausdintuvo tvarkyklė, skirta V3.15 tvarkyklėms ir vėlesnėms versijoms. Kad problema būtų išspręsta, klientai yra raginami atsisiųsti šią naują programinę įrangą. Daugiau informacijos rasite toliau.

CVE / CVSS

CVE-2025-1268: pažeidžiamumas dėl peržengiamų ribų apdorojant paveiktos spausdintuvo tvarkyklės EMF perkodavimą.

CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 9.3).

CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L (Bazinis įvertinimas: 9.4).

Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:

CP2025-003 – pažeidžiamumo sprendimas tam tikroms gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklėms

„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:

CVE-2025-1268: Robert Ord už darbą su „Microsoft Offensive Research and Security Engineering“ (MORSE) komanda

Atnaujinimų istorija

2026 m. kovo 13 d.: Nuorodoje pridėtos paveiktos spausdintuvų tvarkyklės (LIPS4 spausdintuvo tvarkyklė, LIPSLX spausdintuvo tvarkyklė, UFR II spausdintuvo tvarkyklė, PS spausdintuvo tvarkyklė ir PCL6 spausdintuvo tvarkyklė)
2025 m. birželio 16 d.: nuorodoje pridėta paveikta spausdintuvo tvarkyklė (PDF tvarkyklė)
2025 m. gegužės 08 d.: nuorodoje pridėtos paveiktos spausdintuvo tvarkyklės (UFRII LT spausdintuvo tvarkyklė ir CARPS2 spausdintuvo tvarkyklė).
2025 m. balandžio 17 d.: nuorodoje pridėta paveikta spausdintuvo tvarkyklė (bendroji fakso spausdintuvo tvarkyklė)
2025 m. kovo 28 d.: sukurta
Tam tikrose biurams / mažiems biurams skirtų daugiafunkcinių spausdintuvų ir lazerinių spausdintuvų tvarkyklėse buvo aptikti pažeidžiamumai dėl peržengiamų ribų, todėl gali nepavykti išspausdinti sukurto XPS dokumento.

CVE / CVSS

CVE-2025-0234: pažeidžiamumas dėl peržengiamų ribų apdorojant paveiktos spausdintuvo tvarkyklės kreivės segmentavimą.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 6.9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Bazinis įvertinimas: 5.3).

CVE-2025-0235: pažeidžiamumas peržengiant ribas dėl netinkamo atminties atlaisvinimo vaizdo generavimo metu paveiktoje spausdintuvo tvarkyklėje.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 6.9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Bazinis įvertinimas: 5.3).

CVE-2025-0236: pažeidžiamumas dėl peržengiamų ribų apdorojant nuožulnumą kreivės braižymo metu paveiktoje spausdintuvo tvarkyklėje.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Bazinis įvertinimas: 6.9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Bazinis įvertinimas: 5.3).

Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
CP2025-002 – pažeidžiamumo poveikio mažinimas tam tikroms biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklėms

„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:
CVE-2025-0234, CVE-2025-0235 ir CVE-2025-0236: devoke@HUST, wh1tc ir Zhiniang Peng (@edwardzpeng) už darbą su „Kap0k Security Team“
Nustatyti keli pažeidžiamumai, susiję su tam tikrais mažam biurui skirtais daugiafunkciais spausdintuvais ir lazeriniais spausdintuvais.
Šie pažeidžiamumai rodo galimybę, kad, jei gaminys yra prijungtas tiesiogiai prie interneto nenaudojant kelvedžio (laidinio arba „Wi-Fi“), neautentifikuotas nuotolinis įsilaužėlis gali atlikti įrenginyje savavališką kodą. Jie taip pat gali nukreipti į gaminį aptarnavimo perkrovos ataką per internetą.
<Buferio perpilda>
CVE-2024-12647
CVE-2024-12648
CVE-2024-12649
CVE-2025-2146
Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti gaminio saugumą, savo klientams patariame įdiegti naujausią programinę aparatinę įrangą, skirtą toliau pateiktiems paveiktiems modeliams. Taip pat rekomenduojame klientams nustatyti savo gaminiams privatų IP adresą ir sukurti tinklo aplinką su užkarda arba laidiniu / „Wi-Fi“ kelvedžiu, galinčiu apriboti tinklo prieigą.
Daugiau informacijos apie gaminių apsaugą prisijungus prie tinklo rasite apsilankę dalyje Gaminio sauga.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumų būtų aptikta kituose gaminiuose, mes atnaujinsime šį straipsnį.
Prašome peržiūrėti paveiktus modelius.
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.
„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:
CVE-2024-12647: ExLuck (@ExLuck99) iš ANHTUD už darbą su „Trend Zero Day Initiative“
CVE-2024-12648: Neodyme (@Neodyme) už darbą su „Trend Zero Day Initiative“
CVE-2024-12649: PHP Hooligans / Midnight Blue (@midnightbluelab) už darbą su „Trend Zero Day Initiative“
CVE-2025-2146: YingMuo (@YingMuo) iš „DEVCORE Internship Program“ už darbą su „Trend Zero Day Initiative“
Atnaujinimų istorija
2026 m. vasario 20 d.: atnaujintas paveiktų modelių sąrašas.
2025 m. birželio 20 d.: atnaujintas paveiktų modelių sąrašas.
2025 m. gegužės 22 d.: pridėtas CVE ID (CVE-2025-2146), susijęs su ta pačia gaminių serija.
2025 m. vasario 21 d.: atnaujintas paveiktų modelių sąrašas.
2025 m. sausio 27 d.: sukurta.
„NT-ware“ pervadintuose kortelių skaitytuvuose (iš pradžių juos sukūrė ir teikė „rf IDEAS“) buvo nustatyta galima problema dėl asmens tapatybės kortelės unikalumo ir paskelbta CVE-2024-1578.
Nors mes negavome jokių pranešimų apie išnaudojimą, rekomenduojame peržiūrėti nuorodą su saugos patarimais.
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
Saugos patarimas: keli „MiCard PLUS“ kortelių skaitytuvo prarasti simboliai
„uniFLOW Online“ nustatytas galimas įrenginių registracijos pažeidimo pavojus ir paskelbtas CVE-2024-1621.
Nors mes negavome jokių pranešimų apie išnaudojimą, rekomenduojame peržiūrėti nuorodą su saugos patarimais.
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
Saugos patarimas: galimas pavojus įrenginių registracijai
WSD protokolo procese aptiktas tam tikrų mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų buferio perpildos pažeidžiamumas.
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
CP2024-002 Mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumo poveikio mažinimas / sprendimas – Canon PSIRT.
Nustatyti keli pažeidžiamumai, susiję su tam tikrais mažam biurui skirtais daugiafunkciais spausdintuvais ir lazeriniais spausdintuvais.
Šie pažeidžiamumai rodo galimybę, kad, jei gaminys yra prijungtas tiesiogiai prie interneto nenaudojant kelvedžio (laidinio arba „Wi-Fi“), neautentifikuotas nuotolinis įsilaužėlis gali atlikti įrenginyje savavališką kodą. Jie taip pat gali nukreipti į gaminį aptarnavimo perkrovos ataką per internetą.
<Buferio perpilda>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244
Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti gaminio saugumą, savo klientams patariame įdiegti naujausią programinę aparatinę įrangą, skirtą toliau pateiktiems paveiktiems modeliams. Taip pat rekomenduojame klientams nustatyti savo gaminiams privatų IP adresą ir sukurti tinklo aplinką su užkarda arba laidiniu / „Wi-Fi“ kelvedžiu, galinčiu apriboti tinklo prieigą.
Daugiau informacijos apie gaminių apsaugą prisijungus prie tinklo rasite apsilankę dalyje Gaminio sauga.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumų būtų aptikta kituose gaminiuose, mes atnaujinsime šį straipsnį.
Prašome peržiūrėti paveiktus modelius.
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.
„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:
CVE-2023-6229: Nguyen Quoc (Viet) už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-6230: Anonimas už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-6231: „Team Viettel“ už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-6232: ANHTUD už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-6233: ANHTUD už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-6234: „Team Viettel“ už darbą su „Trend Micro's Zero Day Initiative“
CVE-2024-0244: Connor Ford (@ByteInsight) iš „Nettitude“ už darbą su „Trend Micro's Zero Day Initiative“
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
CP2023-003 – Rašalinių spausdintuvų (namų ir biuro / didelio formato) pažeidžiamumo poveikio mažinimas / sprendimas – „Canon PSIRT“
Aprašymas
„IJ Network Tool“ (toliau – Programinė įranga) nustatyti du pažeidžiamumai. Šie pažeidžiamumai rodo galimybę, kad prie to paties tinklo kaip ir spausdintuvas prisijungęs įsilaužėlis, naudodamas Programinę įrangą arba remdamasis jos ryšiu, gali gauti neskelbtinos informacijos apie spausdintuvo „Wi-Fi“ ryšio nustatymus.

CVE / CVSS
CVE-2023-1763: Neskelbtinos informacijos apie spausdintuvo „Wi-Fi“ ryšio sąranką gavimas iš Programinės įrangos. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Bazinis įvertinimas: 6.5.
CVE-2023-1764: Neskelbtinos informacijos apie spausdintuvo „Wi-Fi“ ryšio sąranką gavimas naudojant Programinės įrangos ryšį. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Bazinis įvertinimas: 6.5.

Paveikti gaminiai
CVE-2023-1763 paveikė šiuos modelius:
„Mac“ tinklo įrankis:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Belaidžio spausdinimo serveris WP-20
„Windows“ tinklo įrankis:
Netaikoma
CVE-2023-1764 paveikė šiuos modelius:
„Mac“ tinklo įrankis:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Belaidžio spausdinimo serveris WP-20
„Windows“ tinklo įrankis:
MAXIFY iB4040, MAXIFY iB4050
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Belaidžio spausdinimo serveris WP-20
Paveiktos versijos
CVE-2023-1763 paveikė šias versijas:
„Mac“ tinklo įrankis:
Versija 4.7.5 ir ankstesnės (palaikomos operacinės sistemos: OS X 10.9.5–macOS 13)
Versija 4.7.3 ir ankstesnės (palaikomos operacinės sistemos: OS X 10.7.5–OS X 10.8)

„Windows“ tinklo įrankis:
Netaikoma

CVE-2023-1764 paveikė šias versijas:
„Mac“ tinklo įrankis:
Versija 4.7.5 ir ankstesnės (palaikomos operacinės sistemos: OS X 10.9.5–macOS 13)
Versija 4.7.3 ir ankstesnės (palaikomos operacinės sistemos: OS X 10.7.5–OS X 10.8)

„Windows“ tinklo įrankis:
Versija 3.7.0

Poveikio mažinimas / sprendimas
CVE-2023-1763:
Šio pažeidžiamumo sprendimas yra naudoti spausdintuvus su patikimu tinklo ryšiu. Žr. „Prie tinklo jungiamo gaminio sauga“ čia.
Be to, atsisiųskite „Mac“ tinklo įrankiui išleistas atnaujintas programinės įrangos versijas.
Jei norite sužinoti, kaip atnaujinti programinę įrangą, skirtą MAXIFY ir PIXMA rašaliniams spausdintuvams, į versiją 4.7.6 (palaikomos operacinės sistemos: OS X 10.9.5–macOS 13) arba versiją 4.7.4 (palaikomos operacinės sistemos: OS X 10.7.5–OS X 10.8), apsilankykite programinės įrangos atsisiuntimo puslapyje Vartotojų gaminių palaikymas ir pasirinkite savo modelį, pasirinkite skirtuką „Programinė įranga“ ir pasirinkite „IJ Network Tool“ arba „Wi-Fi Connection Assistant“.
CVE-2023-1764:
Šio pažeidžiamumo sprendimas yra naudoti spausdintuvus su patikimu tinklo ryšiu. Žr. „Prie tinklo jungiamo gaminio sauga“ čia.
Kreditai
„Canon“ norėtų padėkoti Nacionaliniam kibernetinio saugumo centrui Nyderlanduose už pranešimą apie toliau nurodytus pažeidžiamumus.
Nustatyti keli pažeidžiamumai, susiję su tam tikrais biurui / mažam biurui skirtais daugiafunkciais spausdintuvais, lazeriniais spausdintuvais ir rašaliniais spausdintuvais.
Šie pažeidžiamumai rodo galimybę, kad, jei gaminys yra prijungtas tiesiogiai prie interneto nenaudojant kelvedžio (laidinio arba „Wi-Fi“), neautentifikuotas nuotolinis įsilaužėlis gali atlikti įrenginyje savavališką kodą. Jie taip pat gali nukreipti į gaminį aptarnavimo perkrovos ataką per internetą. Dėl netinkamo „RemoteUI“ autentifikavimo įsilaužėlis taip pat gali įdiegti savavališkus failus.
<Buferio perpilda>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974
<Problemos pirmą kartą registruojant sistemos administratorius valdymo protokoluose>
CVE-2023-0857
<Netinkamas „RemoteUI“ autentifikavimas>
CVE-2023-0858
<Savavališkų failų diegimas>
CVE-2023-0859
Nebuvo pranešimų, kad būtų pasinaudota šiais pažeidžiamumais. Tačiau, siekiant padidinti gaminio saugumą, savo klientams patariame įdiegti naujausią programinę aparatinę įrangą, skirtą toliau pateiktiems paveiktiems modeliams. Taip pat rekomenduojame klientams nustatyti savo gaminiams privatų IP adresą ir sukurti tinklo aplinką su užkarda arba laidiniu / „Wi-Fi“ kelvedžiu, galinčiu apriboti tinklo prieigą.
Daugiau informacijos apie gaminių apsaugą prisijungus prie tinklo rasite apsilankę dalyje Gaminio sauga.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumų būtų aptikta kituose gaminiuose, mes atnaujinsime šį straipsnį.
Prašome peržiūrėti paveiktus modelius.
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.
Norėdami sužinoti, kaip atnaujinti MAXIFY, PIXMA ir „imagePROGRAF“ rašalinių spausdintuvų programinę aparatinę įrangą, žr. internetinį vadovą.
„Canon“ norėtų padėkoti šiems tyrėjams už toliau nurodytų pažeidžiamumų nustatymą:
CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0852: R-SEC, „Nettitude“ už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0853: DEVCORE už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0854: DEVCORE už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0855: Chi Tran už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0856: „Team Viettel“ už darbą su „Trend Micro's Zero Day Initiative“
CVE-2023-0857: Alex Rubin ir Martin Rakhmanov
CVE-2023-0858: Alex Rubin ir Martin Rakhmanov
CVE-2023-0859: Alex Rubin ir Martin Rakhmanov
„uniFLOW Server“ ir „uniFLOW Remote Print Server“ nustatyta galima duomenų atskleidimo spraga.
Nors pranešimų apie pažeidžiamumo išnaudojimą negavome, rekomenduojame atnaujinti diegimą į naujausią versiją.
Išsamios informacijos apie pažeidžiamumą, poveikio mažinimą ir sprendimą galima rasti:
Saugos patarimas: „MOM Tech Support“ pažeidžiamumas – „NT-ware“ palaikymas
Naudojant „Canon“ lazerinius spausdintuvus ir mažo biuro daugiafunkcius spausdintuvus buvo nustatyta su buferio perpilda susijusių pažeidžiamumo atvejų.
Nors pranešimų apie pažeidžiamumo išnaudojimą negavome, rekomenduojame atnaujinti įrenginio programinę aparatinę įrangą į naujausią versiją.
Šis pažeidžiamumas nurodo, kad, jei gaminys yra prijungtas tiesiogiai prie interneto nenaudojant laidinio ar „Wi-Fi“ kelvedžio, trečioji šalis internete gali vykdyti savavališką kodą arba gaminys gali būti paveiktas aptarnavimo perkrovos (DoS) atakos.
Nerekomenduojame jungtis prie interneto tiesiogiai – naudokite privatų IP adresą saugiame privačiame tinkle, sukonfigūruotame per užkardą arba laidinį / „WiFi“ kelvedį. Informacijos apie prie tinklo prijungto gaminio saugumą rasite adresu www.canon-europe.com/support/product-security.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte ir toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumas bus aptiktas kituose gaminiuose, mes atnaujinsime šį straipsnį.
Prašome peržiūrėti paveiktus modelius.
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.
„Canon“ norėtų padėkoti šiam tyrėjui už toliau nurodyto pažeidžiamumo nustatymą.
CVE-2022-43608: Angelboy (@scwuaptx) iš „DEVCORE Research Team“ už darbą su „Trend Micro's Zero Day Initiative“
Naudojant „Canon“ lazerinius spausdintuvus ir mažo biuro daugiafunkcius spausdintuvus buvo nustatyta su buferio perpilda susijusių pažeidžiamumo atvejų. Susiję CVE yra: CVE-2022-24672, CVE-2022-24673 ir CVE-2022-24674. Toliau pateiktas paveiktų modelių sąrašas.
Nors pranešimų apie pažeidžiamumo išnaudojimą negavome, atnaujinkite įrenginio programinę aparatinę įrangą į naujausią versiją.
Šis pažeidžiamumas nurodo galimybę, kad, jei gaminys yra prijungtas tiesiogiai prie interneto nenaudojant laidinio ar „Wi-Fi“ kelvedžio, trečioji šalis internete gali vykdyti savavališką kodą arba gaminys gali būti paveiktas aptarnavimo perkrovos (DoS) atakos.
Nerekomenduojame jungtis prie interneto tiesiogiai – naudokite privatų IP adresą saugiame privačiame tinkle, sukonfigūruotame per užkardą arba laidinį / „WiFi“ kelvedį. Informacijos apie prie tinklo prijungto gaminio saugumą rasite adresu www.canon-europe.com/support/product-security.
Mes toliau stiprinsime savo saugumo priemones siekdami užtikrinti, kad galėtumėte toliau ramiai naudotis „Canon“ gaminiais. Jei pažeidžiamumų būtų aptikta kituose gaminiuose, nedelsdami atnaujinsime šį straipsnį.
Lazeriniai spausdintuvai ir mažiems biurams skirti daugiafunkciai spausdintuvai, kuriems reikalingos atsakomosios priemonės:

„imageRUNNER“ 1133, 1133A, 1133iF3
„imageRUNNER“ 1435, 1435i, 1435iF, 1435P
„imageRUNNER“ 1643i II, 1643iF II
„imageRUNNER“ 1643i, 1643iF
„imageRUNNER“ C1225, C1225iF
„imageRUNNER“ C1325iF, C1335iF, C1335iFC
„imageRUNNER“ C3025, C3025i
„imageRUNNER C3125i“
„i-SENSYS“ LBP214dw, LBP215x
„i-SENSYS“ LBP223dw, LBP226dw, LBP228x
„i-SENSYS“ LBP233dw, LBP236dw
„i-SENSYS“ LBP251dw, LBP252dw, LBP253x
„i-SENSYS“ LBP611Cn, LBP613Cdw
„i-SENSYS“ LBP621Cw, LBP623Cdw
„i-SENSYS“ LBP631Cw, LBP633Cdw
„i-SENSYS“ LBP653Cdw, LBP654x
„i-SENSYS“ LBP663Cdw, LBP644Cx
„i-SENSYS“ MF411dw, MF416dw, MF418x, MF419x
„i-SENSYS“ MF421dw, MF426dw, MF428x, MF429x
„i-SENSYS“ MF443dw MF445dw, MF446x, MF449x
„i-SENSYS“ MF453dw, MF455dw
„i-SENSYS“ MF512x, MF515x
„i-SENSYS“ MF542x, MF543x
„i-SENSYS“ MF552dw, MF553dw
„i-SENSYS“ MF6140dn, MF6180dw
„i-SENSYS“ MF623Cn, MF628Cw
„i-SENSYS“ MF631Cn, MF633Cdw, MF635Cx
„i-SENSYS“ MF641Cw, MF643Cdw, MF645Cx
„i-SENSYS“ MF651Cw, MF655Cdw, MF657Cdw
„i-SENSYS“ MF724Cdw, MF728Cdw, MF729Cx
„i-SENSYS“ MF732Cdw, MF734Cdw, MF735Cx
„i-SENSYS“ MF742Cdw, MF 744Cdw, MF746Cx
„i-SENSYS“ MF8230Cn, MF8230Cw
„i-SENSYS“ MF8540Cdn, MF8550Cdn, MF8580Cdw
„i-SENSYS X“ 1238i II, 1238iF II
„i-SENSYS X“ 1238i, 1238iF
„i-SENSYS X“ 1238Pr II, 1238P II
„i-SENSYS X“ 1238Pr, 1238P
„i-SENSYS X“ C1127i, C1127iF
„i-SENSYS X C1127P“
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.
CANON norėtų padėkoti šiems žmonėms už toliau nurodyto pažeidžiamumo nustatymą.
CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho) iš @Synacktiv už darbą su „Trend Micro's Zero Day Initiative“
CVE-2022-24673: Angelboy (@scwuaptx) iš „DEVCORE Research Team“ už darbą su „Trend Micro's Zero Day Initiative“
CVE-2022-24674: Nicolas Devillers ( @nikaiw ), Jean-Romain Garnier ir Raphael Rigo ( @_trou_ ) už darbą su „Trend Micro's Zero Day Initiative“

„Spring MVC“ arba „Spring WebFlux“ programa, veikianti JDK 9+, gali būti pažeidžiama nuotolinio kodo vykdymo (RCE) per duomenų susiejimą. Konkrečiam spragos išnaudojimui reikia, kad programa veiktų „Tomcat“ sistemoje kaip WAR diegimas. Jei programa diegiama kaip „Spring Boot“ vykdomasis JAR failas, t. y. pagal numatytuosius nustatymus, ji negalės būti pažeista tokios atakos. Tačiau pažeidžiamumo pobūdis yra bendresnis ir gali būti kitų būdų jį išnaudoti. Kenkėjiškas klasės failas gali padaryti beveik bet ką: nutekinti duomenis ar paslaptis, paleisti kitą programinę įrangą, pavyzdžiui, išpirkos reikalaujančią programinę įrangą, išgauti kriptovaliutas, sukurti užpakalines duris arba sukurti laiptelį giliau į tinklą.

https://cpp.canon/products-technologies/security/latest-news/

Šio puslapio tikslas – išvardyti „Canon“ gamybinio spausdinimo (CPP) gsaminius, su kuriais gali būti susijusios šios CVE ataskaitos:

CVE-2022-22947
CVE-2022-22950
CVE-2022-22963
CVE-2022-22965

Toliau pateiktoje lentelėje nurodyta „Canon“ gamybinio spausdinimo aparatinės ir programinės įrangos gaminių pažeidžiamumo būsena. Prašome reguliariai tikrinti, ar nėra informacijos apie atnaujinimo būseną.

Įvertinti gaminiai ir jų būsena

CTS – „Cutsheet“ ir „Toner“ sistemos / rašalinis lakštinis spausdinimas

Gaminiai	Būsena
„PRISMAsync“ gaminiai, jungiami prie spausdinimo serverio	Nepaveikta
Serija „varioPRINT 140“	Nepaveikta
Serija „varioPRINT 6000“	Nepaveikta
Serija „varioPRINT i“	Nepaveikta
Serija „varioPRINT iX“	Nepaveikta
VPi300 serijai ir VPiX serijai skirta techninio valdymo stotis (SCS)	Nepaveikta
VPi300 serijai ir VPiX serijai skirta planšetė	Nepaveikta
„PRISMAsync i300/iX Simulator“	Nepaveikta
„PRISMAprepare“ V6	Nepaveikta
„PRISMAprepare“ V7	Nepaveikta
„PRISMAprepare“ V8	Nepaveikta
„PRISMAdirect“ V1	Nepaveikta
„PRISMAprofiler“	Nepaveikta
„PRISMA Cloud“ „PRISMA Home“ „PRISMAprepare Go“ „PRISMAlytics Accounting“	Nepaveikta

PPP – gamybinės spaudos gaminiai

Gaminiai	Būsena
„ColorStream“ 3 x 00 „ColorStream“ 3x00Z	Nepaveikta
„Colorstream“ 6000	Nepaveikta
„ColorStream“ 8000	Nepaveikta
„ProStream“ 1×00	Nepaveikta
Serija „LabelStream 4000“	Nepaveikta
„ImageStream“	Nepaveikta
„JetStream“ V1 „JetStream“ V2	Nepaveikta
„VarioStream“ 4000	Nepaveikta
Serija „VarioStream 7000“	Nepaveikta
„VarioStream“ 8000	Nepaveikta
„PRISMAproduction Server“ V5	Nepaveikta
„PRISMAproduction“ serveris	Nepaveikta
„PRISMAcontrol“	Nepaveikta
„PRISMAspool“	Nepaveikta
„PRISMAsimulate“	Pasiekiama nauja versija*
TrueProof	Nepaveikta
„DocSetter“	Nepaveikta
„DPconvert“	Nepaveikta

* Kreipkitės į vietinį „Canon“ techninės priežiūros atstovą

LFG – didelio formato grafiniai vaizdai (angl. „Large Format Graphics“)

Gaminiai	Būsena
Serija „Arizona“	tiriama
Serija „Colorado“	Nepaveikta
ONYX HUB	tiriama
„ONYX Thrive“	tiriama
„ONYX ProductionHouse“	tiriama

TDS – techninės dokumentacijos sistemos

Gaminiai	Būsena
TDS serija	Nepaveikta
„PlotWave“ serija	Nepaveikta
„ColorWave“ serija	Nepaveikta
„Scanner Professional“	Nepaveikta
„Driver Select“, „Driver Express“, „Publisher Mobile“	Nepaveikta
„Publisher Select“	Nepaveikta
„Account Console“	Nepaveikta
„Repro Desk“	Nepaveikta

Techninės priežiūros ir palaikymo įrankiai

Gaminiai	Būsena
„On Remote Service“	Nepaveikta

RSA raktų generavimo procese buvo patvirtintas pažeidžiamumo kriptografinėje bibliotekoje, integruotoje „Canon“ mažo biuro daugiafunkciuose spausdintuvuose ir lazeriniuose spausdintuvuose / rašaliniuose spausdintuvuose. Toliau pateikiamas visas paveiktų gaminių sąrašas.
Šis pažeidžiamumas kelia riziką, kad dėl RSA raktų poros generavimo proceso problemų kažkas gali nustatyti privatųjį raktą iš RSA viešojo rakto.
Jei RSA raktų pora naudojama TLS arba IPSec protokolui ir yra sugeneruota kriptografinės bibliotekos su šiuo pažeidžiamumu, tokį RSA viešąjį raktą gali pasisavinti trečioji šalis arba jis netgi gali būti suklastotas.
Kol kas negavome jokių pranešimų apie incidentus, susijusius su šiuo pažeidžiamumu, o vartotojai gali būti ramūs, kad paveiktų gaminių programinės įrangos problemos bus išspręstos.
Jei RSA raktų porą sukūrė kriptografinė biblioteka su šiuo pažeidžiamumu, po programinės įrangos atnaujinimo reikia atlikti papildomus veiksmus. Atsižvelgiant į paveiktą elementą, žr. toliau aprašytus veiksmus, kaip patikrinti raktą ir kokių tinkamų veiksmų imtis.
Be to, nejunkite gaminių tiesiogiai prie interneto, o naudokite užkardą, laidinį ryšį arba tinkamai apsaugotą privataus tinklo aplinką, jei naudojate „Wi-Fi“ kelvedį. Taip pat nustatykite privatų IP adresą.
Išsamesnės informacijos ieškokite skyriuje Gaminių apsauga jungiantis prie tinklo.
Įmonės / mažo biuro daugiafunkciai spausdintuvai ir lazeriniai spausdintuvai / rašaliniai spausdintuvai, kuriems reikalinga tokia priemonė.
„imagePROGRAF TZ-30000“
„imagePROGRAF“ TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
„i-SENSYS“ X 1238 II, „i-SENSYS“ X 1238iF II
„i-SENSYS“ X 1238P II, „i-SENSYS“ X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300,PRO-S1/PRO-200
„imagePROGRAF“ GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx / LBP722Cx / LBP722Ci / LBP722Cdw / C1533P / C1538P
Veiksmai, kurių reikia imtis norint patikrinti ir išspręsti su rašalinių spausdintuvų raktu susijusią problemą
Norėdami gauti informacijos apie programinę aparatinę įrangą, programinę įrangą ir gaminių palaikymą, apsilankykite palaikymo svetainėje.

Šiuo metu tiriame „Log4j“ https://logging.apache.org/log4j/2.x/security.html pažeidžiamumo poveikį „Canon“ gaminiams. Kai gausime papildomos informacijos, atnaujinsime šį straipsnį.

Toliau pateiktoje lentelėje nurodyta aparatinės ir programinės įrangos gaminių pažeidžiamumo būsena. Prašome reguliariai tikrinti šią informaciją.

Gaminys	Būsena / pareiškimas
„Canon“ • „imageRUNNER“ • „imageRUNNER ADVANCE“ • „imagePRESS“ • „i-SENSYS“ • „i-SENSYS X“ • „imagePROGRAF“ • „imageFORMULA“	Šie prietaisai nepaveikti.
„Canon“ • „imageWARE Management Console“ • „imageWARE Enterprise Management Console“ • „eMaintenance Optimiser“ • „eMaintenance Universal Gateway“ • „Canon Data Collection Agent“ • „Remote Support Operator Kit“ • „Content Delivery Service“ • „Device Settings Configurator“ • „Canon Reporting Service Online“ • „OS400 Object Generator“ • „CQue Driver“ • „SQue Driver“	Programinė įranga nepaveikta.
„Canon“ pramoninis spausdinimas • PRISMA „Cutsheet“ ir „Toner“ sistemos • Nepertraukiamas spausdinimas • Didelio formato grafiniai vaizdai • Techninių dokumentų sistemos	https://cpp.canon/products-technologies/security/latest-news/
„NT-ware“ • „uniFLOW“ • „uniFLOW Online“ • „uniFLOW Online Express“ • „uniFLOW sysHub“ • „PRISMAsatellite“	https://www.uniflow.global/en/security/security-and-maintenance/
„Avantech“ • „Scan2x“ • „Scan2x Online“	„Scan2x“ pareiškimas dėl Log4J pažeidžiamumo – scan2x
„Cirrato“ • „Cirrato One“ • „Cirrato Embedded“	Nepaveiktas.
„Compart“ • „DocBridge Suite“	Informacija – „Compart“
„Docspro“ • „Import Controller“ • „XML Importer“ • „Email Importer“ • „Knowledge Base“ • „Universal Test Release“ • „Advanced PDF Creator“ • „Webservice Export Connector“	Nepaveiktas.
„Docuform“ • „Mercury Suite“	Nepaveiktas.
„Doxsense“ • „WES Pull Print“ 2.1 • „WES Authentication“ 2.1	Nepaveiktas.
EFI • „Fiery“	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
„Genius Bytes“ • „Genius MFP Canon Client“	„Log4j“ nulinės dienos pažeidžiamumas – „Genius Bytes“ Nepaveiktas
Vyzdinė diafragma • „IRISXtract“ • „IRISPowerscan“ • „Readiris PDF 22“ • „Readiris „16 ir 17 • „Cardiris“ • „IRISPulse“	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
„Kantar“ • „Discover Assessment Web Survey“	Nepaveiktas.
„Netaphor“ • „SiteAudit“	„SiteAudit“ pažeidžiamumo poveikis \| „Netaphor SiteAudit(TM)“ žinių bazė
„Netikus“ • „EventSentry“	Ar „EventSentry“ paveikė „Log4Shell Log4j“ RCE CVE-2021-44228 \| EventSentry
„Newfield IT“ • „Asset DB“	Nepaveiktas.
„Objectif Lune“ • „Connect“	Ankstesnėse „Objectif Lune Connect“ versijose buvo naudojamas log4j modulis, tačiau jis buvo pašalintas iš programinės įrangos išleidus „Objectif Lune Connect 2018.1“. Kol naudojate 2018.1 arba vėlesnę „Objectif Lune Connect“ versiją, pažeidižiamumo nėra.
„OptimiDoc“ • „OptimiDoc“	„OptimiDoc“ \| Log4j informacija
„Overall“ • „Print In City“	Nepaveiktas.
„PaperCut“ • „PaperCut“	„Log4Shell“ (CVE-2021-44228) – kaip tai paveikė „PaperCut“? \| „PaperCut“
„Paper River“ • „TotalCopy“	Nepaveiktas.
„Ringdale“ • „FollowMe Embedded“	Nepaveiktas.
„Quadient“ • „Inspire Suite“	„Quadient University“ Log4J informacija esamiems klientams
„T5 Solutions“ • TG-PLOT/CAD-RIP	Nepaveiktas.
„Therefore“ • „Therefore“ • „Therefore Online“	https://therefore.net/log4j-therefore-unaffected/
„Tungsten“ • „PowerPDF“ • „eCopy ShareScan“ • „Robotic Process Automation“ • „Tungsten Communication Manager Solution“	„Tungsten“ gaminiai ir „Apache Log4j2“ pažeidžiamumo informacija – „Tungsten“ Nepaveiktas. Kol bus paruoštos „ShareScan“ pataisos, atlikite veiksmus, nurodytus „Tungsten“ straipsnyje ShareScan and Log4j vulnerability (CVE-2021-44228). Yra pataisos. Žr. straipsnį Tungsten RPA CVE-2021-44228 log4j Security Exploit Information. Yra pataisos. Žr. straipsnį log4j vulnerability in Tungsten Communications Manager.
„Westpole“ • „Intelligent Print Management“	Nepaveiktas.

Gaminys

Būsena / pareiškimas

„Canon“

• „imageRUNNER“

• „imageRUNNER ADVANCE“

• „imagePRESS“

• „i-SENSYS“

• „i-SENSYS X“

• „imagePROGRAF“

• „imageFORMULA“

Šie prietaisai nepaveikti.

„Canon“

• „imageWARE Management Console“

• „imageWARE Enterprise Management Console“

• „eMaintenance Optimiser“

• „eMaintenance Universal Gateway“

• „Canon Data Collection Agent“

• „Remote Support Operator Kit“

• „Content Delivery Service“

• „Device Settings Configurator“

• „Canon Reporting Service Online“

• „OS400 Object Generator“

• „CQue Driver“

• „SQue Driver“

Programinė įranga nepaveikta.

„Canon“ pramoninis spausdinimas

• PRISMA „Cutsheet“ ir „Toner“ sistemos

• Nepertraukiamas spausdinimas

• Didelio formato grafiniai vaizdai

• Techninių dokumentų sistemos

https://cpp.canon/products-technologies/security/latest-news/

„NT-ware“

• „uniFLOW“

• „uniFLOW Online“

• „uniFLOW Online Express“

• „uniFLOW sysHub“

• „PRISMAsatellite“

https://www.uniflow.global/en/security/security-and-maintenance/

„Avantech“

• „Scan2x“

• „Scan2x Online“

„Scan2x“ pareiškimas dėl Log4J pažeidžiamumo – scan2x

„Cirrato“

• „Cirrato One“

• „Cirrato Embedded“

Nepaveiktas.

„Compart“

• „DocBridge Suite“

Informacija – „Compart“

„Docspro“

• „Import Controller“

• „XML Importer“

• „Email Importer“

• „Knowledge Base“

• „Universal Test Release“

• „Advanced PDF Creator“

• „Webservice Export Connector“

Nepaveiktas.

„Docuform“

• „Mercury Suite“

Nepaveiktas.

„Doxsense“

• „WES Pull Print“ 2.1

• „WES Authentication“ 2.1

Nepaveiktas.

EFI

• „Fiery“

https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US

„Genius Bytes“

• „Genius MFP Canon Client“

„Log4j“ nulinės dienos pažeidžiamumas – „Genius Bytes“

Nepaveiktas

Vyzdinė diafragma

• „IRISXtract“

• „IRISPowerscan“

• „Readiris PDF 22“

• „Readiris „16 ir 17

• „Cardiris“

• „IRISPulse“

IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)

„Kantar“

• „Discover Assessment Web Survey“

Nepaveiktas.

„Netaphor“

• „SiteAudit“

„SiteAudit“ pažeidžiamumo poveikis | „Netaphor SiteAudit(TM)“ žinių bazė

„Netikus“

• „EventSentry“

Ar „EventSentry“ paveikė „Log4Shell Log4j“ RCE CVE-2021-44228 | EventSentry

„Newfield IT“

• „Asset DB“

Nepaveiktas.

„Objectif Lune“

• „Connect“

Ankstesnėse „Objectif Lune Connect“ versijose buvo naudojamas log4j modulis, tačiau jis buvo pašalintas iš programinės įrangos išleidus „Objectif Lune Connect 2018.1“. Kol naudojate 2018.1 arba vėlesnę „Objectif Lune Connect“ versiją, pažeidižiamumo nėra.

„OptimiDoc“

• „OptimiDoc“

„OptimiDoc“ | Log4j informacija

„Overall“

• „Print In City“

Nepaveiktas.

„PaperCut“

• „PaperCut“

„Log4Shell“ (CVE-2021-44228) – kaip tai paveikė „PaperCut“? | „PaperCut“

„Paper River“

• „TotalCopy“

Nepaveiktas.

„Ringdale“

• „FollowMe Embedded“

Nepaveiktas.

„Quadient“

• „Inspire Suite“

„Quadient University“ Log4J informacija esamiems klientams

„T5 Solutions“

• TG-PLOT/CAD-RIP

Nepaveiktas.

„Therefore“

• „Therefore“

• „Therefore Online“

https://therefore.net/log4j-therefore-unaffected/

„Tungsten“

• „PowerPDF“

• „eCopy ShareScan“

• „Robotic Process Automation“

• „Tungsten Communication Manager Solution“

„Tungsten“ gaminiai ir „Apache Log4j2“ pažeidžiamumo informacija – „Tungsten“

Nepaveiktas.

Kol bus paruoštos „ShareScan“ pataisos, atlikite veiksmus, nurodytus „Tungsten“ straipsnyje ShareScan and Log4j vulnerability (CVE-2021-44228).

Yra pataisos. Žr. straipsnį Tungsten RPA CVE-2021-44228 log4j Security Exploit Information.

Yra pataisos. Žr. straipsnį log4j vulnerability in Tungsten Communications Manager.

„Westpole“

• „Intelligent Print Management“

Nepaveiktas.

„Canon“ lazerinių spausdintuvų ir daugiafunkcių įrenginių, skirtų mažiems biurams, „Remote UI“ funkcijoje nustatytas pažeidžiamumas dėl įterptinių instrukcijų atakos – žr. toliau paveiktus modelius (pažeidžiamumo identifikavimo numeris: JVN # 64806328).
Kad galėtų pasinaudoti šiuo pažeidžiamumu, įsilaužėlis turi veikti administratoriaus režimu. Nors pranešimų apie prarastus duomenis nebuvo, saugumui padidinti patariame įdiegti naujausią programinę aparatinę įrangą. Naujinimus galima rasti adresu https://www.canon-europe.com/support/.
Taip pat rekomenduojame nustatyti privatų IP adresą ir tinklo aplinką, užtikrinančią, kad ryšys būtų užmegztas naudojant užkardą arba „Wi-Fi“ kelvedį, kuris gali apriboti tinklo prieigą. Daugiau informacijos apie saugumo priemones prijungiant įrenginius prie tinklo rasite adresu https://www.canon-europe.com/support/product-security/.
Paveikti gaminiai:
iSENSYS
LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw
„imageRUNNER“
2206IF
2204N, 2204F
Anksčiau šiais metais buvo aptiktas „Microsoft Windows Print Spooler“ pažeidžiamumas, kuris buvo pramintas „PrintNightmare“. Šis pažeidžiamumas leidžia įsilaužėliams tam tikromis sąlygomis valdyti naudotojų „Windows“ sistemas.
Nors tai gali turėti įtakos „Canon“ įrenginių naudotojams, tai yra „Microsoft“ programinės įrangos trūkumo, o ne „Canon“ gaminių ar programinės įrangos problemos rezultatas. Tiksliau sakant, problema kyla dėl spausdinimo kaupos funkcijos, kuri yra įdiegta kiekviename „Windows Server“ ir „Windows“ darbalaukyje.
„Microsoft“ paskelbė, kad šie pažeidžiamumai buvo ištaisyti liepos 6 d. „Microsoft“ saugos naujinime, kurį galima gauti per „Windows Update“ arba atsisiuntus ir įdiegus KB5004945. „Microsoft“ rekomenduoja IT komandoms nedelsiant įdiegti šį naujinimą, kad būtų išvengta su šiais pažeidžiamumais susijusių įsilaužimų. Norėdami gauti visą „Microsoft“ informaciją šiuo klausimu, apsilankykite https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Be „Microsoft“ patarimų įdiegti naujinimus, taip pat rekomenduojame apsaugoti savo sistemą, patvirtindami, kad toliau nurodyti registro nustatymai yra nustatyti į 0 (nulį) arba nėra apibrėžti (Pastaba. Šių registro raktų pagal numatytuosius nustatymus nėra, todėl jie jau yra saugioje būsenoje.). Taip pat turėtumėte patikrinti, ar jūsų grupės politikos nustatymai yra teisingi:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) arba neapibrėžta (numatytasis nustatymas)
UpdatePromptSettings = 0 (DWORD) arba neapibrėžta (numatytasis nustatymas)
Nustačius registro raktą „NoWarningNoElevationOnInstall“ į 1, sumažėja sistemos saugumo lygis.
Rekomenduojame jūsų IT komandai ir toliau stebėti „Microsoft“ palaikymo svetainę, kad būtų įdiegtos visos taikomos operacinės sistemos pataisos.
Ištyrę nustatėme, kad šis pažeidžiamumas nėra susijęs su jokiais „imageRUNNER“, „imageRUNNER ADVANCE“ ar „i-SENSYS“ gaminiais. Mes tęsiame „Canon“ gaminių tyrimą ir atnaujinsime šį straipsnį, kai turėsime daugiau informacijos.
„Federalinė informacijos saugumo tarnyba“ (BSI) atkreipė mūsų dėmesį, kad tinklo diegimas „microMIND“ sistemoje yra pažeidžiamas daugybės atakų. Šiuos pažeidžiamumus aptiko „Forescout Technologies“ tyrėjai Jos Wetzels, Stanislavas Dashevskyi, Amine Amri ir Daniel dos Santos.
„microMIND“ naudoja atvirojo kodo „uIP“ tinklo dėklą, https://en.wikipedia.org/wiki/UIP_(micro_IP), kurį tūkstančiai įmonių naudoja savo programinei ir aparatinei įrangai sujungti į tinklą. Tyrėjai nustatė, kad pasinaudojus šiais pažeidžiamumais gali būti įvykdyta aptarnavimo perkrovos (DoS) ataka – įrenginys gali būti atjungtas nuo tinklo arba pačiame „microMIND“ gali būti vykdomas nuotolinis kodo vykdymas (RCE). Siekdama išspręsti šiuos pažeidžiamumus, „NT-ware“ išleido naują programinę-aparatinę įrangą, kurioje išspręstos visos pranešime nurodytos problemos. Šio saugos biuletenio rengimo metu nebuvo žinoma apie jokius pažeidžiamumo išnaudojimus, nukreiptus prieš „microMIND“.
Pažeidžiamumo išnaudojimo pavadinimas / nuoroda: AMNESIA: 33, https://www.forescout.com/amnesia33/
Šia programine aparatine įranga sprendžiami CVE yra: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
CVE, kurie nėra susiję su uIP dėklo įgyvendinimu „mikroMIND“ sistemoje: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Paveikta „uniFLOW microMIND“ programinė aparatinė įranga: 2.0.9 ir ankstesnė versija arba pristatyta iki 2020 m. spalio mėn.
Poveikio mažinimas / veiksmas: jei turite paveiktą „mikroMIND“, kreipkitės į „Canon“ atstovą ir susitarkite dėl programinės aparatinės įrangos atnaujinimo.
Izraelio kibernetinio saugumo įmonė „SCADApence Ltd.“ atkreipė mūsų dėmesį į pažeidžiamumą, susijusį su IP dėklo protokolu, naudojamu „Canon“ lazerinių spausdintuvų ir mažiems biurams skirtų daugiafunkcių spausdintuvų. Išsamesnės informacijos rasite CVE-2020-16849.
Galimas trečiosios šalies išpuolis prieš įrenginį, kai jis prijungtas prie tinklo, leidžiantis per nesaugų tinklą gauti „adresų knygelės“ ir (arba) „administratoriaus slaptažodžio“ fragmentus. Pažymėtina, kad kai HTTPS naudojamas „Remote UI“ ryšiui, duomenys apsaugomi šifravimu.
Iki šiol nebuvo patvirtintų atvejų, kad šie pažeidžiamumai būtų išnaudojami siekiant pakenkti. Tačiau siekiant užtikrinti, kad mūsų klientai galėtų saugiai naudotis mūsų gaminiais, šiems gaminiams bus prieinama nauja programinė aparatinė įranga:
Serija „i-SENSYS MF“
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
Serija „i-SENSYS LBP“
LBP113W
LBP151DW
LBP162DW
„imageRUNNER“ serija
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
Daugiau informacijos, kaip atnaujinti programinę aparatinę įrangą, žr. naudotojo vadove.
Patartina naudoti gaminiams privatų IP adresą ir naudoti tinklo parametrų priemones, pavyzdžiui, užkardą arba „Wi-Fi“ kelvedį, galinčias apriboti tinklo prieigą. Šiame puslapyje esančiame skyriuje „Prie tinklo prijungtų gaminių sauga“ pateikiamos papildomos rekomendacijos.
Atlikus „Ripple20“ pažeidžiamumo tyrimą, nenustatyta jokių problemų, susijusių su „Canon“ spausdintuvais.
Nors „Canon“ belaidžio ryšio funkcijos slaptažodis atitinka dabartinį WPA standartą, mes suprantame, kad aštuonių simbolių skaitinių slaptažodžių užtikrinamas saugumas nebėra tokio paties lygio kaip anksčiau. Turėdami tai omenyje, rekomenduojame, kad aplinkose, kuriose svarbus belaidžio ryšio saugumas, pavyzdžiui, viešose vietose, „Canon“ įranga visada būtų jungiama prie infrastruktūros „Wi-Fi“ tinklo. Mes laikomės rimto požiūrio į saugumą – atnaujiname „Wi-Fi“ saugumo konfigūracijas visuose savo gaminiuose, kad užtikrintume jums aukščiausią saugumo lygį. Apie visus atnaujinimus bus skelbiama šiuose puslapiuose. „Canon“ norėtų padėkoti REDTEAM.PL už tai, kad atkreipė mūsų dėmesį į besikeičiantį slaptažodžių saugumo pobūdį ir jo poveikį rinkai.
„imageRUNNER ADVANCE“ programinės įrangos platformos 3.8 ir vėlesnėse versijose įdiegtas „Syslog“ protokolas (suderinamas su RFC 5424, RFC 5425 ir RFC 5426) – beveik realiuoju laiku veikiantis įvykių pranešimų siuntimo funkcionalumas, papildantis esamą įrenginių registravimą, padidinant įrenginių ir įrenginių saugumo įvykių matomumą. Tai papildo įrenginių registravimo galimybę, leidžiančią prisijungti prie esamo saugos informacijos įvykių valdymo (SIEM) arba „Syslog“ serverio. Toliau patiektame dokumente SIEM_spec nurodyta išsami informacija apie pranešimų tipus ir žurnalų duomenis, kurie gali būti generuojami.
„VxWorks“ operacinėje sistemoje nustatyta vienuolika pažeidžiamumų, pavadintų URGENT/11 (nuo CVE-2019-12255 iki CVE-2019-12265). Paaiškėjo, kad „VxWorks“ operacinėje sistemoje naudojamas „IPnet“ TCP/IP dėklas buvo naudojamas ir kitose realaus laiko operacinėse sistemose, todėl atsirado galimybė, kad pažeidžiamumų (CVE-2019-12255, CVE-2019-12262 ir CVE-2019-12264) gali būti ir kituose gaminiuose.
Ši problema gali paveikti kelis senesnius europietiškus modelius, nes nustatyta, kad jie naudoja paveiktą „IPnet“ TCP/IP dėklą:
„i-SENSYS MF4270“
„i-SENSYS MF4370dn“
„i-SENSYS MF4380dn“
„imageRUNNER 2318“
„imageRUNNER 2318L“
„imageRUNNER 2320“
„imageRUNNER 2420“
„imageRUNNER 2422“
Rekomenduojame peržiūrėti tinklo saugos valdiklius ir (arba) atnaujinti į naujausią atitinkamą „Canon“ įrenginį. Daugiau informacijos rasite „Canon“ MFD stiprinimo vadove (nuoroda pateikta šio puslapio apačioje) ir „Canon“ pasauliniame puslapyje.

Labai dėkojame, kad naudojatės „Canon“ gaminiais.

Tarptautinė saugumo tyrėjų komanda atkreipė mūsų dėmesį į pažeidžiamumą, susijusį su ryšiu per „Canon“ skaitmeninių fotoaparatų naudojamą „Picture Transfer Protocol“ (PTP), taip pat į pažeidžiamumą, susijusį su programinės įrangos atnaujinimais.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

Dėl šių pažeidžiamumų galima trečiosios šalies ataka prieš kamerą, jei kamera prijungta prie kompiuterio ar mobiliojo įrenginio, kuris buvo užgrobtas per neapsaugotą tinklą.

Šiuo metu nėra patvirtintų atvejų, kai šie pažeidžiamumai išnaudojami siekiant pakenkti, tačiau siekdami užtikrinti, kad mūsų klientai galėtų saugiai naudotis mūsų gaminiais, norėtume jus informuoti apie šios problemos sprendimo būdus.

Užtikrinkite, kad būtų tinkamai nustatyti prie kameros prijungtų įrenginių, pvz., kompiuterio, mobiliojo įrenginio ir naudojamo kelvedžio, su saugumu susiję nustatymai.
Nejunkite kameros prie kompiuterio ar mobiliojo įrenginio, kuris naudojamas nesaugiame tinkle, pavyzdžiui, nemokamame „Wi-Fi“ tinkle.
Nejunkite kameros prie kompiuterio ar mobiliojo įrenginio, kuris gali būti užkrėstas virusais.
Išjunkite kameros tinklo funkcijas, kai jos nenaudojamos.
Kai atnaujinate kameros programinę aparatinę įrangą, atsisiųskite oficialiąją programinę aparatinę įrangą iš „Canon“ svetainės.

Vis daugiau kompiuterių ir mobiliųjų įrenginių naudojama nesaugioje (nemokamo „Wi-Fi“) tinklo aplinkoje, o klientai nėra susipažinę su tokio tinklo saugumu. Kadangi tapo įprasta perkelti vaizdus iš fotoaparato į mobilųjį įrenginį per „Wi-Fi“ ryšį, įdiegsime programinės aparatinės įrangos atnaujinimus toliau nurodytiems modeliams, turintiems „Wi-Fi“ funkciją.

Šie pažeidžiamumai turi įtakos toliau nurodytiems EOS serijos skaitmeniniams SLR ir neveidrodiniams fotoaparatams:


EOS-1DC^{1 2}	EOS 6D Mark II	„EOS 760D“	„EOS M6 Mark II“	„PowerShot SX740 HS“
EOS-1DX^{1 2}	EOS 7D Mark II^*1	„EOS 800D“	EOS M10
EOS-1DX MK II^{1 2}	EOS 70D	„EOS 1300D“	EOS M50
EOS 5D Mark III^*1	„EOS 77D“	EOS 2000D	„EOS M100“
„EOS 5D Mark IV“	„EOS 80D“	EOS 4000D	EOS R
EOS 5DS^*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R^*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	„EOS 750D“	„EOS M6“	PowerShot SX70 HS

^{* 1} Jei naudojamas „Wi-Fi“ adapteris arba belaidis failų siųstuvas, galima užmegzti „Wi-Fi“ ryšį.

^{* 2} Šie pažeidžiamumai taip pat paveikia eterneto ryšius.

Kiekvieno gaminio programinės aparatinės įrangos atnaujinimo informacija bus pateikiama iš eilės, pradedant nuo gaminių, kuriems pasiruošimas yra baigtas.

Nustatėme saugumo problemą, kuri kyla tam tikromis aplinkybėmis naudojant „uniFLOW“, o „NT-Ware“ išleido karštąją pataisą jai išspręsti. Primygtinai rekomenduojame kuo greičiau paleisti šią pataisą savo sistemoje.
Yra galimybė gauti neteisėtą prieigą, kai autentifikavimui naudojamas „Vartotojo vardas / slaptažodis“ arba naudojamas kortelės mokymosi mechanizmas.

Tai taikoma tik tam tikroms programinės įrangos versijoms, kai naudojamos šios autentifikavimo priemonės:

• „uniFLOW“ V5.1 SRx
• „uniFLOW“ V5.2 SRx
• „uniFLOW“ V5.3 SRx
• „uniFLOW“ V5.4 SR10 (peržiūrėta karštoji pataisa) ir naujesnės versijos
• „uniFLOW“ 2018 LTS SRx (peržiūrėta karštoji pataisa)
• „uniFLOW“ 2018 v leidimai (peržiūrėta karštoji pataisa)

Jei naudojate „uniFLOW“ V5.1 SRX, „uniFLOW“ V5.2 SRX arba „uniFLOW“ V5.3 SRX, kreipkitės į įgaliotąjį pardavėją arba „Canon“ palaikymo atstovą.

Instrukcijas, kaip įdiegti karštąją pataisą, rasite čia

Esame įsipareigoję teikti savo klientams saugius sprendimus ir atsiprašome už bet kokius nepatogumus, kuriuos sukėlė ši situacija. Jei reikia daugiau informacijos apie šį patarimą, kreipkitės į vietinį „Canon“ biurą, įgaliotąjį pardavėją arba „Canon“ palaikymo atstovą. Jei pastebėsite įtartiną veiklą, nedelsdami praneškite apie tai savo paskyros valdytojui ir IT skyriui.
Neseniai tyrėjai pranešė apie tam tikrų gaminių fakso funkcijų ryšio protokoluose aptiktus pažeidžiamumus. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Toliau pateikiame informacijos apie šių pažeidžiamumų poveikį „Canon“ gaminiams, kuriuose įdiegtos fakso funkcijos.
Remiantis mūsų apžvalga, toliau nurodyti gaminiai nėra paveikti, nes nenaudoja „Color G3 Fax“ protokolo, kuriuo pasinaudojama šio pažeidžiamumo atveju: „imageRUNNER/iR“, „imageRUNNER ADVANCE“, LASER CLASS, „imagePRESS“, FAXPHONE, GP ir „imageCLASS“ / „i-SENSYS“ serijos modeliai su fakso funkcijomis.
MAXIFY ir PIXMA serijos gaminiai su fakso funkcijomis naudoja „Color G3 Fax“ protokolą. Tačiau mes nenustatėme jokios rizikos, kad per fakso grandinę būtų vykdomas kenkėjiškas kodas, ar rizikos šiuose įrenginiuose saugomos informacijos saugumui.
Toliau stebėsime šią situaciją ir imsimės reikiamų veiksmų, kad užtikrintume savo įrenginių saugumą.
Neseniai buvo paviešinti tam tikrų „Intel“, AMD ir ARM procesorių pažeidžiamumai naudojant spekuliacinį vykdymą našumui pagerinti. Pasinaudodamas šiais pažeidžiamumais, įsilaužėlis gali gauti neteisėtą prieigą prie privačių talpyklos atminties sričių.
Buvo nustatyti ir įvardyti du pažeidžiamumų variantai su skirtingais metodais spekuliatyvioms vykdymo funkcijoms paveiktuose procesoriuose išnaudoti. Tai yra CVE-2017-5715, CVE-2017-5753: „Spectre“ ir CVE-2017-5754: „Meltdown“.
Šie pažeidžiamumai gali turėti įtakos toliau nurodytiems „Canon“ išorinių valdiklių gaminiams. Nors šiuo metu nėra žinoma, kaip būtų galima pasinaudoti šiais pažeidžiamumais, rengiamos atsakomosios priemonės, kad klientai galėtų toliau be rūpesčių naudotis mūsų gaminiais.
„ColorPASS“:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1
„imagePASS“:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0
„imagePRESS-CR Server“:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1
„imagePRESS Server“:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0

Šie pažeidžiamumai gali turėti įtakos toliau nurodytai „Canon“ paslaugai. Nors šiuo metu nėra žinoma, kaip būtų galima pasinaudoti šiais pažeidžiamumais, iki 2018 m. vasario mėn. pabaigos buvo įdiegtos atsakomosios priemonės.
„MDS Cloud“
Jokie „Canon“ lazeriniai daugiafunkciai spausdintuvai ar „Canon“ lazeriniai spausdintuvai bei su jais susiję programinės įrangos gaminiai, išskyrus pirmiau minėtus, nėra paveikti šių pažeidžiamumų jokiu žinomu būdu. Klientai gali ir toliau patikimai naudotis mūsų gaminiais.
„Canon“ nuolat siekia užtikrinti aukščiausią saugumo lygį visuose mūsų gaminiuose ir sprendimuose. Mes laikomės rimto požiūrio į savo klientų informacijos saugumą, o jos apsauga yra mūsų didžiausias prioritetas.
Neseniai vienas tyrėjas pranešė apie standartinio belaidžio LAN („Wi-Fi“) šifravimo protokolo WPA2 pažeidžiamumą, vadinamąjį KRACKs. Ši pažeidžiamumas leidžia įsilaužėliui tyčia perimti belaidį perdavimą tarp kliento (terminalo su „Wi-Fi“ funkcija) ir prieigos taško (kelvedžio ir pan.) ir atlikti potencialiai kenkėjišką veiklą. Dėl šios priežasties šiuo pažeidžiamumu negali pasinaudoti niekas, esantis už „Wi-Fi“ signalo diapazono ribų, ir joks asmuo, esantis atokioje vietoje, naudodamas internetą kaip tarpinę priemonę.

Dar turime patvirtinti, ar dėl šio pažeidžiamumo „Canon“ gaminių naudotojai susidūrė su problemomis, tačiau, kad klientai galėtų toliau ramiai naudotis mūsų gaminiais, rekomenduojame imtis šių prevencinių priemonių:
• Naudokite USB kabelį arba eterneto kabelį ir tiesiogiai prijunkite suderinamus įrenginius prie tinklo
• Užšifruokite duomenų perdavimą iš įrenginių, kuriuose įjungti šifravimo nustatymai (TLS / IPSec)
• Naudokite tokias fizines laikmenas kaip SD korteles su suderinamais įrenginiais
• Naudokite tokius nustatymus kaip „Wireless Direct“ ir „Direct Connect“ su suderinamais įrenginiais

Siūlomos veikimo procedūros ir funkcijos skiriasi atsižvelgiant į įrenginį, todėl daugiau informacijos ieškokite įrenginio vadove. Taip pat rekomenduojame imtis atitinkamų priemonių tokiems įrenginiams kaip kompiuteris ar išmanusis telefonas. Norėdami gauti informacijos apie kiekvienam įrenginiui tinkamas priemones, kreipkitės į įrenginio gamintoją.

Dokumentacija

Esame susipažinę su naujienų straipsniais apie „University Alliance Ruhr“ mokslinius tyrimus apie galimą tinkle veikiančių spausdintuvų pažeidžiamumą per mūsų pramonėje plačiai naudojamą „PostScript“ programavimo kalbą. Per tyrimą jokie „Canon“ įrenginiai nebuvo bandomi.

„Canon“ nuolat dirba, kad užtikrintų aukščiausią visų mūsų gaminių ir sprendimų, įskaitant tinkle veikiančius spausdintuvus, saugumo lygį. Mes laikomės rimto požiūrio į savo klientų informacijos saugumą, o jos apsauga yra mūsų didžiausias prioritetas. Mūsų MFD stiprinimo vadove pateikti paaiškinimai ir patarimai dėl geriausių konfigūracijos nustatymų saugos įgyvendinimui.

Toliau yra pateikta informacija apie saugumo priemones konkretiems „Canon“ gaminiams ir jų nustatymo procedūros. Atkreipkite dėmesį, kad informacija pateikta tik anglų kalba.



Rašaliniai spausdintuvai (PIXMA serijos) ir rašaliniai spausdintuvai verslui (MAXIFY serijos)	Didelio formato rašalinis spausdintuvas („imagePROGRAF“ serijos)	Lazeriniai spausdintuvai ir daugiafunkciai įrenginiai mažiems biurams (LBP ir MF serijos)	Daugiafunkciai įrenginiai biurui ir gamybiniams spaudiniams („imageRUNNER“, „imageRUNNER ADVANCE“, „imagePRESS“ serijos)

Tinklo kameros	MFD stiprinimo vadovas	Tinklo skaitytuvai („imageFORMULA“ serijos)	„Canon imageRUNNER“ saugos matrica

„Canon“ įrenginių saugos apžvalga	„ImageRUNNER ADVANCE“ ir „imageRUNNER ADVANCE DX“ saugos dokumentacija	SIEM_Spec („imageRUNNER ADVANCE“)	„ColorWave“ ir „PlotWave SMARTShield Security“ dokumentacija

Sertifikatai

„Canon“ didžiausią dėmesį skiria informacijos saugai, kad visada būtų užtikrintas rašytinės, šnekamosios ir elektroninės informacijos konfidencialumas, vientisumas ir prieinamumas.

Konfidencialumas – užtikrinti, kad informacija būtų prieinama tik tiems, kurie turi teisę su ja susipažinti.
Vientisumas – informacijos ir jos tvarkymo būdų tikslumo bei išsamumo užtikrinimas.
Prieinamumas – užtikrinti, kad įgaliotieji naudotojai turėtų prieigą prie informacijos, kai jos reikia.

ISO 27001 sertifikatas patvirtina, kad „Canon Europe“ yra įdiegusi sistemas, skirtas įmonių informacijai ir duomenims apsaugoti tiek prisijungus, tiek neprisijungus prie interneto. Laikydamasi standarto ISO 27001, „Canon Europe“ gali patvirtinti, kad jos saugumo procesai – nuo kūrimo iki pristatymo – buvo įvertinti iš išorės ir sertifikuoti trečiosios šalies pagal šį tarptautiniu mastu pripažintą standartą.


	„Canon Europe“ įgijo ISO 27001 sertifikatą už savo informacijos saugos valdymo sistemą, tad galime patikinti klientus, jog laikomės pasaulinio lygio standartų. Apima visas informacijos saugos sritis nuo rizikos bei audito vadybos iki gaminių saugos ir incidentų valdymo.

Mūsų informacijos saugos valdymo sistema apima šias sritis:

saugumo politika
informacijos saugos organizavimas
turto valdymas
žmogiškųjų išteklių saugumas
fizinis ir aplinkos saugumas
ryšių ir operacijų valdymas
prieigos kontrolė
informacinių sistemų įsigijimas, kūrimas ir priežiūra
informacijos saugos incidentų valdymas
verslo tęstinumo valdymas
atitiktis teisės aktams

ISO 27001 sertifikatas

Gaminio pažeidžiamumo atskleidimas

„Canon“ EMEA PSIRT (Gaminių saugos incidentų tyrimo grupė) priklauso pasaulinės „Canon“ PSIRT organizacijai ir yra atsakinga už reagavimą į pažeidžiamumą, susijusį su „Canon EMEA“ gaminiais, sistemomis ir paslaugomis. Mes laikomės geriausios pramonės praktikos, kad pagerintume gaminių saugumo lygį ir teiktume savo klientams itin saugius gaminius.

„Canon EMEA PSIRT“ galima teikti informaciją, susijusią su bet kokiu įtariamu gaminio pažeidžiamumu, o tokią informaciją mes tvarkysime pagal mūsų pažeidžiamumo atskleidimo politiką.

Pranešti apie gaminio pažeidžiamumą

Jei žinote apie saugumo problemą, susijusią su „Canon“ gaminiu, sistema ar paslauga, norėtume, kad apie tai mums praneštumėte.

Jei manote, kad aptikote su „Canon“ gaminiu susijusią saugumo problemą, arba norite pranešti apie saugumo incidentą, galite kreiptis į „Canon“ EMEA Gaminių saugos incidentų tyrimo grupę el. paštu product-security@canon-europe.comarba naudodami mūsų Gaminių pažeidžiamumo nurodymo formą. Pateikite išsamią saugumo problemos santrauką, tikslų gaminio pavadinimą, programinės įrangos versiją ir problemos pobūdį. Taip pat nurodykite savo el. pašto adresą ir telefono numerį, kad galėtume su jumis susisiekti, jei mums prireiktų daugiau informacijos.
Atkreipkite dėmesį, kad šis el. pašto adresas ir forma yra skirti tik pranešti apie gaminio saugumo problemas ar pažeidžiamumą, o ne apie bendras palaikymo problemas. Jei reikia pagalbos dėl bet kokios kitos su gaminiu susijusios problemos, žr. mūsų pagalbos puslapius.

IT sistemos saugos atskleidimo politika

„Canon“ rimtai vertina savo IT sistemų saugumą ir su saugumu susijusią bendruomenę. Patikimo partnerio atliekamas saugumo trūkumų atskleidimas padeda užtikrinti mūsų naudotojų saugumą ir privatumą. Šioje politikoje apibrėžtas reikalavimas ir mechanizmas, susijęs su „Canon“ EMEA IT sistemos pažeidžiamumo atskleidimu ir leidžiantis tyrėjams saugiai bei etiškai pranešti apie saugumo pažeidžiamumą „Canon“ EMEA informacijos saugumo komandai.

Ši politika galioja visiems, įskaitant vidinius „Canon“ ir išorinius dalyvius.

„Canon“ EMEA informacijos saugumo komanda yra įsipareigojusi saugoti „Canon“ klientus ir darbuotojus, todėl laikydamiesi šio įsipareigojimo kviečiame saugumo tyrėjus padėti apsaugoti „Canon“ aktyviai pranešant apie saugumo spragas ir trūkumus. Informaciją apie savo tyrimą (-us) galite pateikti adresu appsec@canon-europe.com

Taikymo srities domenai
Toliau pateiktas sąrašas su domenais, įtrauktais į „Canon“ pažeidžiamumo atskleidimo politiką.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

Apie trūkumus galite pranešti mums el. paštu appsec@canon-europe.com. Savo el. laiške glaustai, bet aiškiai ir išsamiai nurodykite, kokį trūkumą (-us) aptikote, pateikite bet kokius turimus įrodymus atsižvelgdami į tai, kad pranešimą peržiūrės „Canon“ saugumo specialistai. Savo el. laiške nurodykite šiuos dalykus:

pažeidžiamumo tipą;

išsamias instrukcijas, kaip atkurti pažeidžiamumą;

veiksmus, kurių ėmėtės;

visą URL;

objektus (filtrus ar įvesties laukus), kurie gali būti susiję;

ekrano kopijos yra pageidautinos.

Pranešime apie trūkumus nurodykite savo IP adresą. Jis bus laikomas paslaptyje ir naudojamas tam, kad galėtume nagrinėti jūsų testavimo veiklą ir peržiūrėti žurnalus.

Mes nepriimsime automatinių programinės įrangos skaitytuvų išvesčių.

Nepriimsime:

tūrinių / mūsų paslaugų trikdymo atakų (kai mūsų paslauga tiesiog perkraunama dideliu užklausų kiekiu);

TLS konfigūracijos trūkumų (pvz., „silpno“ kodavimo rinkinio palaikymo, „TLS1.0 support“, „sweet32“ ir t. t.);

problemų, susijusių su el. pašto adresų, naudojamų su myid.canon susijusioms naudotojų paskyroms kurti, tikrinimų;

„Self“ XSS;

mišraus turinio scenarijų www.canon*;

nesaugių slapukų svetainėje www.canon*;

CRF ir CRLF išpuolių, kurių poveikis yra minimalus;

HTTP pagrindinio kompiuterio antraštės XSS be veikiančios koncepcijos įrodymo;

nepilno / trūkstamo SPF / LEMVNR / DKIM;

socialinės inžinerijos išpuolių;

saugumo klaidų su „Canon“ integruotose trečiųjų šalių svetainėse;

tinklo duomenų išvardijimo metodų (pvz., reklaminių juostų perėmimą, viešai prieinamų serverių diagnostikos puslapių buvimą);

pranešimų, kuriuose nurodoma, kad mūsų paslaugos nevisiškai atitinka „geriausiąją praktiką“.
„Canon“ informacijos saugumo ekspertai ištirs jūsų pranešimą ir susisieks su jumis per 5 darbo dienas.

Jūsų privatumas

Jūsų asmeninius duomenis naudosime tik tam, kad galėtume imtis veiksmų pagal jūsų pranešimą. Be jūsų aiškaus leidimo nesidalinsime jūsų asmeniniais duomenimis su kitomis šalimis.
Galimai nelegalūs veiksmai
Jei pastebėsite trūkumą ir jį tirsite, galite atlikti veiksmus, kurie yra baudžiami pagal įstatymus. Jei laikysitės toliau pateiktų taisyklių ir principų dėl pranešimų apie mūsų IT sistemų trūkumus, apie jūsų nusižengimą nepranešime valdžios institucijoms ir nepateiksime prašymo.

Tačiau svarbu žinoti, kad prokuratūra, o ne CANON, gali nuspręsti, ar būsite patrauktas baudžiamojon atsakomybėn, net jei apie jūsų nusižengimą nepranešėme valdžios institucijoms. Vadinasi, mes negalime užtikrinti, kad nebūsite patrauktas baudžiamojon atsakomybėn, jei tirdami bet kokį trūkumą padarysite baudžiamą nusikalstamą veiką.

Saugumo ir teisingumo ministerijos Nacionalinis kibernetinio saugumo centras yra parengęs gaires, kaip pranešti apie IT sistemų trūkumus. Mūsų taisyklės yra grindžiamos šiomis gairėmis. (https://english.ncsc.nl/)

Bendrieji principai
Elkitės atsakingai ir itin atsargiai. Tirdami atitinkamą problemą, naudokite tik tuos metodus ar būdus, kurie yra būtini trūkumams aptikti ar pademonstruoti.

Nenaudokite trūkumų, kuriuos aptikote, kitokiais tikslais nei jūsų konkretus tyrimas.

Nenaudokite socialinės inžinerijos prieigai prie sistemos gauti.

Neįrenkite jokių užpakalinių durų, net siekdami įrodyti sistemos pažeidžiamumą. Užpakalinės durys susilpnins sistemos saugumą.

Nekeiskite ir nepašalinkite jokios sistemos informacijos. Jei jums reikia kopijuoti informaciją savo tyrimui, niekada nekopijuokite daugiau nei jums reikia. Jei pakanka vieno įrašo, nenaudokite kitų.

Jokiu būdu nekeiskite sistemos.

Į sistemą galima patekti tik tuo atveju, jei tai būtina. Jei jums pavyko patekti į sistemą, nesidalykite prieiga su kitais.

Nenaudokite grubios jėgos metodų, pavyzdžiui, pakartotinai įvesdami slaptažodžius prieigai prie sistemų gauti.

Nenaudokite aptarnavimo perkrovos atakų prieigai gauti
Ar gausiu atlygį už savo tyrimą?

Ne, jūs neturite teisės į jokį atlygį.

Ar galiu paviešinti mano nustatytus trūkumus ir tyrimą?

Niekada neviešinkite „Canon“ IT sistemų ar tyrimo trūkumų prieš tai nepasitarę su mumis el. paštu appsec@canon-europe.com. Mes galime bendradarbiauti, kad užkirstume kelią nusikaltėlių piktnaudžiavimui jūsų informacija. Pasitarkite su mūsų informacijos saugumo komanda, kad dirbdami kartu galėtume nuspręsti dėl paskelbimo.

Ar galiu pranešti apie trūkumą anonimiškai?

Taip, galite. Pranešant apie trūkumą, jums nebūtina nurodyti savo vardo ir kontaktinių duomenų. Tačiau supraskite, kad taip mes negalėsime su jumis konsultuotis dėl tolesnių priemonių, pavyzdžiui, tolesnių veiksmų dėl jūsų pranešimo ar tolesnio bendradarbiavimo.

Kam šis el. pašto adresas nėra skirtas?

El. paštas appsec@canon-europe.com nėra skirtas:

skundams dėl „Canon“ gaminių ar paslaugų teikti;

klausimams ar skundams dėl „Canon“ svetainių pasiekiamumo;

pranešimams apie sukčiavimą arba įtarimą sukčiavimu;

pranešimams apie suklastotus el. laiškus ar sukčiavimą apsimetant;

pranešimams apie virusus.

Naujienos

CPE2026-003 – gamybinių spausdintuvų ir daugiafunkcių biuro spausdintuvų pažeidžiamumo sumažinimas / pašalinimas, 2026 m. balandžio 23 d.

CPE2026-051 – „OpenSSL“ pažeidžiamumo, kuris turi įtakos „IRIS XMailFetcher“, pašalinimas – 2026 m. kovo 23 d.

CPE2026-002 – „Windows“ skirtos paslaugų programos „IJ Scan“ pažeidžiamumo pašalinimas, 2026 m. vasario 26 d.

CPE2026-001 – dėl mažam biurui skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumų poveikio mažinimo / taisymo – 2026 m. sausio 15 d. (atnaujinta 2026 m. kovas 06 d.)

CPE2025-052 – „Therefore™ Online“ ir „Therefore™ On-Premises“ pažeidžiamumo mažinimas / taisymas – 2025 m. spalio 31 d.

CPE2025-005 – pažeidžiamumų sprendimas tam tikroms gamybai skirtų spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklėms – 2025 m. rugsėjo 25 d. (atnaujinta 2026 m. kovo 13 d.)

CPE2025-051 – „Canon EOS Webcam Utility Pro“, skirtos MAC OS, pažeidžiamumo poveikio mažinimas / sprendimas – 2025 m. birželio 26 d.

CPE2025-004 – gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumų poveikio mažinimas – 2025 m. gegužės 19 d. (atnaujinta 2025 m. birželio 3 d.)

CPE2025-003 – tam tikrų gamybinių spausdintuvų, biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklių pažeidžiamumų sprendimas – 2025 m. kovo 28 d. (atnaujinta 2026 m. kovo 13 d.)

CPE2025-002 – pažeidžiamumo poveikio mažinimas tam tikroms biurams / mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų tvarkyklėms – 2025 m. vasario 24 d.

CPE2025-001 – Dėl mažam biurui skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumų poveikio mažinimo / sprendimo – 2025 m. sausio 27 d. (atnaujinta 2026 m. vasario 20 d.)

CPE2024-004 – Kelių „MiCard PLUS“ kortelių skaitytuvų prarasti simboliai – 2024 m. rugsėjo 16 d.

CPE2024-003 – gali būti pažeista „uniFLOW Online“ įrenginių registracija – 2024 m. birželio 10 d. (atnaujinta 2024 m. rugsėjo 2 d.)

CPE2024-002 – Mažiems biurams skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumo poveikio mažinimas / sprendimas – 2024 m. kovo 14 d.

CPE2024-001 – Dėl mažam biurui skirtų daugiafunkcių spausdintuvų ir lazerinių spausdintuvų pažeidžiamumų – 2024 m. vasario 5 d. (atnaujinta 2025 m. vasario 21 d.)

CPE2023-003 – Rašalinių spausdintuvų (namų ir biuro / didelio formato) pažeidžiamumo poveikio mažinimas / sprendimas – 2023 m. rugpjūčio 15 d.

CPE2023-002 – „IJ Network Tool“ pažeidžiamumai dėl „Wi-Fi“ ryšio sąrankos – 2023 m. gegužės 18 d.

CPE2023-001 – Dėl biurui / mažam biurui skirtų daugiafunkcių spausdintuvų, lazerinių spausdintuvų ir rašalinių spausdintuvų pažeidžiamumo – 2023 m. balandžio 14 d. (atnaujinta 2023 m. rugsėjo 30 d.)

„uniFLOW MOM Tech Support“ galimas duomenų atskleidimo pažeidžiamumas – 2023 m. sausio 20 d.

Dėl priemonės nuo lazerinių spausdintuvų ir mažiems biurams skirtų daugiafunkcių spausdintuvų buferio perpildos pažeidžiamumo (CVE-2022-43608) – 2022 m. lapkričio 25 d. (atnaujinta 2023 m. rugpjūčio 30 d.)

Dėl priemonės nuo lazerinių spausdintuvų ir mažo biuro daugiafunkcių spausdintuvų buferio perpildos pažeidžiamumo – 2022 m. rugpjūčio 9 d.

„Spring4Shell“ pažeidžiamumas (CVE-2022- 22965, CVE-2022-22947, CVE-2022- 22950, CVE-2022-22963) – 2022 m. balandžio 28 d.

Įmonių / mažų biurų daugiafunkcių spausdintuvų, lazerinių spausdintuvų ir rašalinių spausdintuvų RSA raktų generavimo pažeidžiamumas – 2022 m. balandžio 4 d.

„Log4j“ RCE [CVE-2021-44228], „Log4j“ RCE [CVE-2021-45046] ir „Log4j“ DOS [CVE-2021-45105] pažeidžiamumas – 2022 m. sausio 12 d.

Įterptinių instrukcijų atakos sukeliamas pažeidžiamumas lazeriniuose spausdintuvuose ir mažiems biurams skirtuose daugiafunkciuose įrenginiuose – 2022 m. sausio 11 d.

„Windows Print Spooler“ nuotolinio kodo vykdymo pažeidžiamumas – 2021 m. lapkričio 16 d.

AMNESIA:33: įterptųjų TCP / IP dėklų pažeidžiamumas – 2020 m. gruodžio 10 d.

„UniFLOW MicroMIND“ pažeidžiamumas – 2020 m. gruodžio 8 d.

IP dėklo pažeidžiamumai, susijęs su „Canon“ lazeriniais ir mažiems biurams skirtais daugiafunkciais spausdintuvais – 2020 m. spalio 1 d.

„Ripple20“: įvairūs pažeidžiamumai, nustatyti TCP / IP dėkle – 2020 m. rugsėjo 30 d.

Saugumą užtikrinantys aštuonių simbolių skaitiniai slaptažodžiai – 2020 m. kovo 6 d.

„ImageRUNNER ADVANCE“ „Syslog“ ir „Log“ įvykiai – 2020 m. vasario 20 d.

„VxWork“ operacinės sistemos pažeidžiamumas – 2019 m. spalio 3 d.

Saugos patarimas, susijęs su „Canon“ skaitmeninių fotoaparatų PTP („Picture Transfer Protocol“) ryšio funkcijomis ir programinės įrangos atnaujinimo funkcijomis – 2019 m. rugpjūčio 6 d.

„uniFLOW“ autentifikavimo problema – 2019 m. kovo 19 d.

Fakso pažeidžiamumas – 2018 m. rugpjūčio 31 d.

„Spectre“ ir „Meltdown“ CPU saugumo pažeidžiamumai – 2018 m. kovo 8 d.

„WPA2 „Wi-Fi“ šifravimo protokolo pažeidžiamumas – 2018 m. sausio 16 d.

Dokumentacija

Saugumo priemonės konkretiems „Canon“ gaminiams

Sertifikatai

ISO 27001 informacijos saugumas

Gaminio pažeidžiamumo atskleidimas

Gaminio pažeidžiamumo atskleidimas

Pranešti apie gaminio pažeidžiamumą

Kaip su mumis susisiekti

Su saugumo palaikymu nesusijusios užklausos

IT sistemos saugos atskleidimo politika

Taikymo sritis

Pranešimas apie pažeidžiamumą

Ką darysime su jūsų pranešimu

Taisyklės

Dažnai užduodami klausimai