JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月6日、「JVNVU#90033405: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性」において、キヤノンのスモールオフィス向け複合機およびレーザービームプリンターに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から任意のコード実行やサービス運用妨害(DoS: Denial of Service)攻撃を受ける可能性があり注意が必要。

  • JVNVU#90033405: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

    JVNVU#90033405: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

発見された脆弱性は次のとおり。

  • CVE-2023-6229 - CPCA PDLリソースダウンロード処理にバッファーオーバーフローの脆弱性
  • CVE-2023-6230 - モバイルデバイス機器の認証におけるアドレス帳のパスワード処理にバッファーオーバーフローの脆弱性
  • CVE-2023-6231 - WSDプロープリクエスト処理にバッファーオーバーフローの脆弱性
  • CVE-2023-6232 - モバイルデバイス機器の認証におけるアドレス帳のユーザー名処理にバッファーオーバーフローの脆弱性
  • CVE-2023-6233 - SLP属性要求処理にバッファーオーバーフローの脆弱性
  • CVE-2023-6234 - CPCA Color LUTリソースダウンロード処理にバッファーオーバーフローの脆弱性
  • CVE-2024-0244 - CPCA PCFAX番号処理にバッファーオーバーフローの脆弱性

影響を受ける製品およびバージョン

これまでに確認されたセキュリティ脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

  • LBP674C Ver3.07およびこれ以前のバージョン
  • LBP672C Ver3.07およびこれ以前のバージョン
  • LBP671C Ver3.07およびこれ以前のバージョン
  • MF755Cdw Ver3.07およびこれ以前のバージョン
  • MF753Cdw Ver3.07およびこれ以前のバージョン
  • MF751Cdw Ver3.07およびこれ以前のバージョン

脆弱性が修正された製品およびバージョン

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

  • LBP674C Ver3.09およびこれ以降のバージョン
  • LBP672C Ver3.09およびこれ以降のバージョン
  • LBP671C Ver3.09およびこれ以降のバージョン
  • MF755Cdw Ver3.09およびこれ以降のバージョン
  • MF753Cdw Ver3.09およびこれ以降のバージョン
  • MF751Cdw Ver3.09およびこれ以降のバージョン

修正された脆弱性の深刻度はいずれも緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてファームウェアアップデートを実施することを推奨している。また、追加の対策としてファイアウォールなどで保護された安全なローカルネットワーク環境内で使用することが望まれている。