JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月6日、「JVNVU#90033405: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性」において、キヤノンのスモールオフィス向け複合機およびレーザービームプリンターに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から任意のコード実行やサービス運用妨害(DoS: Denial of Service)攻撃を受ける可能性があり注意が必要。

JVNVU#90033405: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

レーザービームプリンターおよびスモールオフィス向け複合機に関する脆弱性対応について|サポート|キヤノン

発見された脆弱性は次のとおり。

CVE-2023-6229 - CPCA PDLリソースダウンロード処理にバッファーオーバーフローの脆弱性

CVE-2023-6230 - モバイルデバイス機器の認証におけるアドレス帳のパスワード処理にバッファーオーバーフローの脆弱性

CVE-2023-6231 - WSDプロープリクエスト処理にバッファーオーバーフローの脆弱性

CVE-2023-6232 - モバイルデバイス機器の認証におけるアドレス帳のユーザー名処理にバッファーオーバーフローの脆弱性

CVE-2023-6233 - SLP属性要求処理にバッファーオーバーフローの脆弱性

CVE-2023-6234 - CPCA Color LUTリソースダウンロード処理にバッファーオーバーフローの脆弱性

CVE-2024-0244 - CPCA PCFAX番号処理にバッファーオーバーフローの脆弱性

○影響を受ける製品およびバージョン

これまでに確認されたセキュリティ脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

LBP674C Ver3.07およびこれ以前のバージョン

LBP672C Ver3.07およびこれ以前のバージョン

LBP671C Ver3.07およびこれ以前のバージョン

MF755Cdw Ver3.07およびこれ以前のバージョン

MF753Cdw Ver3.07およびこれ以前のバージョン

MF751Cdw Ver3.07およびこれ以前のバージョン

○脆弱性が修正された製品およびバージョン

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

LBP674C Ver3.09およびこれ以降のバージョン

LBP672C Ver3.09およびこれ以降のバージョン

LBP671C Ver3.09およびこれ以降のバージョン

MF755Cdw Ver3.09およびこれ以降のバージョン

MF753Cdw Ver3.09およびこれ以降のバージョン

MF751Cdw Ver3.09およびこれ以降のバージョン

修正された脆弱性の深刻度はいずれも緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてファームウェアアップデートを実施することを推奨している。また、追加の対策としてファイアウォールなどで保護された安全なローカルネットワーク環境内で使用することが望まれている。