富士ゼロックス製複合機およびプリンタにサービス運用妨害(DoS)の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月19日、富士ゼロックス製複合機およびプリンタにおけるサービス運用妨害(DoS)の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
DocuCentre-VII C7773 / C6673 / C5573 / C4473 / C3373 / C2273
DocuCentre-VII C7788 / C6688 / C5588
ApeosPort-VII C7773 / C6673 / C5573 / C4473 / C3373 / C2273
ApeosPort-VII C7788 / C6688 / C5588
ApeosPort C7070 / C6570 / C5570 / C4570 / C3570 / C3070 / C2570
ApeosPort-VII C4422 / C3322
ApeosPort-VII C4421
ApeosPort C2360 / C2060
ApeosPort-VII CP4422 / CP3322
ApeosPort Print C5570 / C4570
ApeosPort 4570 / 3570
ApeosPort 3060 / 2560 / 1860
ApeosPort-VII 5022
ApeosPort-VII P4022
DocuCentre-VI C2264
DocuPrint CP500 d
JVNによると、富士ゼロックス株式会社が提供する複合機およびプリンタには、サービス運用妨害(DoS)の脆弱性が存在し、当該製品にアクセス可能な第三者によって細工されたコマンドを送信されると異常終了する可能性がある。復帰させるには、当該製品の設置場所での電源ボタンによる再起動が必要となる。
JVNでは、複合機については開発者が提供する情報をもとに、カストマーエンジニアによる対応か、またはリモート保守回線を使用しダウンロードしたうえでファームウェアの最新版へのアップデートを、プリンタについては開発者が提供する情報をもとに、ファームウェアを最新版にアップデートするよう呼びかけている。なお、開発者によると該当する製品に対するファームウェアは段階的に提供予定となっている。
ファームウェアのアップデート以外では、ファイアウォール等で保護されたネットワーク内の設置、インターネットからのアクセスを許可する場合は信頼できるIPアドレスのみアクセスを許可する、リモート接続が必要な場合はVPNなどのセキュアな接続を使用することで本脆弱性の影響を軽減することが可能。
《ScanNetSecurity》