リコーのプリンタと複合機にバッファオーバーフローの脆弱性

IPA(情報処理推進機構)セキュリティセンターとJPCERT/CC JPCERTコーディネーションセンター)は9月13日、リコー製プリンタと複合機にバッファオーバーフローの 脆弱性が複数あることをJVN(Japan Vulnerability Notes)において公表した。

今回発表された脆弱性は以下の通り。

• HTTP クッキーヘッダ解析処理におけるバッファオーバーフロー(CVE-2019-14300)
• Wi-Fi、mDNS、POP3、SMTP および警告の設定を行う際のHTTPパラメータ解析処理におけるバッファオーバーフロー(CVE-2019-14305)
• SNMP 設定を行う際のHTTPパラメータ解析処理におけるバッファオーバーフロー(CVE-2019-14307)
• LPDパケット解析処理におけるバッファオーバーフロー(CVE-2019-14308)

これらの脆弱性を悪用されると、遠隔の第三者によって、任意のコードを実行されたり、サービス運用妨害 (DoS)攻撃を受けたりするおそれがある。

影響を受けるシステムは以下の通り。

SP C250SF ファームウェア ver.1.13 より前のバージョン SP C252SF ファームウェア ver.1.13 より前のバージョン SP C250DN ファームウェア ver.1.07 より前のバージョン SP C252DN ファームウェア ver.1.07 より前のバージョン

• SP C250SF

リコーからは、上記の脆弱性を修正するファームウェアが既に提供されている。SP C250SFとSP C252SFは、ファームウェアver.1.13をインストールすることにより脆弱性が修正される。SP C250DNとSP C252DNは、ファームウェアver.1.07をインストールすることにより脆弱性が修正される。