重要情報 1. 対象製品: - SharpおよびToshiba Tec Corporationが提供する Multifunction Printers (MFP) には、複数の脆弱性が存在します。 2. 脆弱性情報: - 配列外読み取り (CWE-125): - CVSSスコア: 7.5 - 説明: キーワード検索入力およびSOAPメッセージの不適切な処理に起因する配列外読み取りの脆弱性。 - 配列外読み取り (CWE-125): - CVSSスコア: 7.5 - 説明: HTTP要求ヘッダーの不適切な処理に起因する配列外読み取りの脆弱性。 - 配列外読み取り (CWE-125): - CVSSスコア: 4.9 - 説明: HTTP要求内でのデータダウンロードの不適切な処理に起因する配列外読み取りの脆弱性。 - パストラバーサル (CWE-22): - CVSSスコア: 5.3 - 説明: HTTP PUT要求内のURIデータの不適切な処理に起因するパストラバーサルの脆弱性。 - 一部の構成関連APIに対するアクセス制限の不備 (CWE-749): - CVSSスコア: 8.1 - 説明: 構成関連のAPIの一部でアクセス制限が適切に施されていない。 - 代替経路を使用した認証回避 (CWE-288): - CVSSスコア: 9.1 - 説明: HTTP認証要求の不適切な処理に起因する認証回避の脆弱性。 - HTTP要求内でのクエリパラメータの処理不備 (CWE-644): - CVSSスコア: 7.4 - 説明: HTTP要求内でのクエリパラメータの不適切な処理に起因する脆弱性。 - 反射型クロスサイトスクリプティング (CWE-79): - CVSSスコア: 7.4 - 説明: HTTP要求内でのクエリパラメータの不適切な処理に起因する反射型クロスサイトスクリプティング(XSS)の脆弱性。 - 格納型クロスサイトスクリプティング (CWE-79): - CVSSスコア: 6.2 - 説明: URIデータ登録時における入力検証の不適切な処理に起因する格納型クロスサイトスクリプティング(XSS)の脆弱性。 3. 影響: - 悪意のあるHTTP要求によって、対象製品がクラッシュする可能性があります。 - 内部ファイルが、悪意のあるHTTP要求の処理过程中に抽出される可能性があります。 - 管理者以外のユーザーが、一部の構成APIを実行できる可能性があります。 - 認証を回避される可能性があります。 - 対象製品を指す悪意のあるURLへのアクセスにより、Webブラウザ内で悪意のあるスクリプトが実行される可能性があります。 - 悪意のある入力を管理者ユーザーが保存した場合、他の被害者のWebブラウザ内で悪意のあるスクリプトが実行される可能性があります。 4. 解決策: - ファームウェアの更新: ベンダーが提供した情報に基づき、適切なファームウェアアップデートを適用してください。 - ワークアラウンドの適用: - 影響を受けるMFPを、ファイアウォールで保護されたネットワーク内に配置する。 - 管理者パスワードを設定する(初期パスワードは出荷時のデフォルト設定に含まれています。製品マニュアルを参照)。 - 初期構成における管理者パスワードを変更し、適切に管理する。 5. ベンダーの状況: - Sharp Corporation: 脆弱性の状態: 影響を受易 - Toshiba Tec Corporation: 脆弱性の状態: 影響を受易 6. 参考資料: - JPCERT/CC Addendum - 脆弱性分析はJPCERT/CCによって実施されました - 謝辞: Sharp Corporationがこれらの脆弱性をJPCERT/CCに報告し、JVNを通じてユーザーに対し解決策を提供しました。 7. その他の情報: - JPCERT Alert - JPCERT Reports - CERT Advisory - CPNI Advisory - TRnotes - CVE - JVN iPedia 8. 更新履歴: - 2024/10/25: Sharp Corporationがステータスを更新 まとめ このページでは、SharpおよびToshiba TecのMFPにおける複数の脆弱性について、その種類、影響、解決策、およびベンダーの状況などの詳細情報を提供しています。これらの情報は、影響を受けるデバイスの特定と修正に不可欠です。