シャープと東芝テックのデジタル複合機に複数の脆弱性、更新を
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月31日、「JVNVU#93051062: シャープ製および東芝テック製の複合機(MFP)における複数の脆弱性」において、シャープおよび東芝テックのデジタル複合機に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、攻撃者に任意のコードをファームウェア上で実行される可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ
東芝テック:東芝テック製デジタル複合機の脆弱性対応について
脆弱性の情報(CVE)は次のとおり。
CVE-2024-28038 - 複合機内部のWebサーバにスタックベースのバッファーオーバーフローの脆弱性
CVE-2024-28955 - 不適切な権限設定の脆弱性。別の脆弱性を併用することで複合機の機密情報を含んだファイルを参照できる
CVE-2024-29146、CVE-2024-29978 - 不適切な機密情報保護の脆弱性。別の脆弱性を併用することで平文として保存された機密情報を閲覧できる
CVE-2024-32151 - 複合機の一部の機密情報は別の脆弱性を利用することで復号可能
CVE-2024-33605 - 複合機内部のWebサーバにパストラバーサルの脆弱性
CVE-2024-33610 - 複合機のWebページに不適切なアクセス権の脆弱性
CVE-2024-33616 - 不適切な資格情報で認証を回避し、情報にアクセスする脆弱性
CVE-2024-34162 - 複合機内部のWebサーバに資格情報漏洩の脆弱性
CVE-2024-35244 - 一部機能の資格情報をハードコーディングしている脆弱性
CVE-2024-36248 - 外部サイトの資格情報をハードコーディングしている脆弱性
CVE-2024-36249 - 複合機内部のWebサーバにクロスサイトスクリプティング(XSS)の脆弱性
CVE-2024-36251、CVE-2024-36254 - 複合機内部のWebサーバに領域外メモリ参照の脆弱性
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。下記バージョンはファームウェアバージョンの上2から4桁目を抽出したもの。
BP-70C65 310およびこれ以前のバージョン
BP-70C55 310およびこれ以前のバージョン
BP-70C45 310およびこれ以前のバージョン
BP-70C26 310およびこれ以前のバージョン
BP-60C36 310およびこれ以前のバージョン
BP-60C31 310およびこれ以前のバージョン
BP-60C26 310およびこれ以前のバージョン
BP-50C65 310およびこれ以前のバージョン
BP-50C55 310およびこれ以前のバージョン
BP-50C45 310およびこれ以前のバージョン
BP-40C36 310およびこれ以前のバージョン
BP-40C26 310およびこれ以前のバージョン
MX-8081 150およびこれ以前のバージョン
MX-6171 612およびこれ以前のバージョン
MX-5171 612およびこれ以前のバージョン
MX-4171 612およびこれ以前のバージョン
MX-3661 612およびこれ以前のバージョン
MX-3161 612およびこれ以前のバージョン
MX-2661 612およびこれ以前のバージョン
MX-6151 612およびこれ以前のバージョン
MX-5151 612およびこれ以前のバージョン
MX-4151 612およびこれ以前のバージョン
MX-3631 612およびこれ以前のバージョン
MX-2631 612およびこれ以前のバージョン
BP-30C25 123およびこれ以前のバージョン
MX-6170FN 801およびこれ以前のバージョン
MX-5170FN 801およびこれ以前のバージョン
MX-4170FN 801およびこれ以前のバージョン
MX-6170FV 801およびこれ以前のバージョン
MX-5170FV 801およびこれ以前のバージョン
MX-4170FV 801およびこれ以前のバージョン
MX-6150FN 801およびこれ以前のバージョン
MX-5150FN 801およびこれ以前のバージョン
MX-4150FN 801およびこれ以前のバージョン
MX-3650FN 801およびこれ以前のバージョン
MX-3150FN 801およびこれ以前のバージョン
MX-2650FN 801およびこれ以前のバージョン
MX-6150FV 801およびこれ以前のバージョン
MX-5150FV 801およびこれ以前のバージョン
MX-4150FV 801およびこれ以前のバージョン
MX-3650FV 801およびこれ以前のバージョン
MX-3150FV 801およびこれ以前のバージョン
MX-2650FV 801およびこれ以前のバージョン
MX-3630FN 801およびこれ以前のバージョン
MX-2630FN 801およびこれ以前のバージョン
MX-3117FN 202およびこれ以前のバージョン
MX-2517FN 202およびこれ以前のバージョン
MX-2020F 202およびこれ以前のバージョン
MX-C306W 512およびこれ以前のバージョン
MX-C305W 512およびこれ以前のバージョン
BP-70M90 303およびこれ以前のバージョン
BP-70M75 303およびこれ以前のバージョン
BP-70M65 310およびこれ以前のバージョン
BP-70M55 310およびこれ以前のバージョン
BP-70M45 310およびこれ以前のバージョン
MX-M1206 113およびこれ以前のバージョン
MX-M1056 113およびこれ以前のバージョン
MX-M7570 455およびこれ以前のバージョン
MX-M6570 455およびこれ以前のバージョン
MX-M6071 412およびこれ以前のバージョン
MX-M5071 412およびこれ以前のバージョン
MX-M4071 412およびこれ以前のバージョン
MX-M3531 412およびこれ以前のバージョン
BP-30M35 211およびこれ以前のバージョン
BP-30M31 211およびこれ以前のバージョン
BP-30M28 211およびこれ以前のバージョン
BP-30M31L 211およびこれ以前のバージョン
MX-M6070 502およびこれ以前のバージョン
MX-M5070 502およびこれ以前のバージョン
MX-M4070 502およびこれ以前のバージョン
MX-B455W 404およびこれ以前のバージョン
e-STUDIO 908 バージョン非公開
e-STUDIO 1058 バージョン非公開
e-STUDIO 1208 バージョン非公開
○サポートが終了した製品
脆弱性が存在し、サポートが終了している製品は次のとおり。
MX-6540FN
MX-5141FN
MX-5140FN
MX-4141FN
MX-4140FN
MX-3640FN
MX-3140FN
MX-2640FN
MX-5111FN
MX-5110FN
MX-4111FN
MX-4110FN
MX-3610FN
MX-3110FN
MX-2610FN
MX-C302W
MX-3611F
MX-3111F
MX-2312F
MX-2310F
MX-C381FX
MX-C381
MX-C312
MX-C310FX
MX-C310
MX-C380P
DX-C310P
MX-C312SC
MX-5001FN
MX-5000FN
MX-4101FN
MX-4100FN
MX-3600FN
MX-3100FN
MX-3100FG
MX-2600FN
MX-2600FG
MX-3112FN
MX-2311FN
MX-2301FN
MX-M1204
MX-M1054
MX-M904
MX-M754FN
MX-M654FN
MX-M565FN
MX-M465FN
MX-M365FN
MX-M564FN
MX-M464FN
MX-M356FP
MX-M316FP
MX-M266FP
MX-M316G
MX-M356FV
MX-M316FV
MX-M266FV
MX-M316GV
MX-M354FP
MX-M314FP
MX-M264FP
MX-B382
MX-B382P
MX-B382SC
MX-M753
MX-M623
MX-M503N
MX-M363N
MX-M283N
MX-M503F
MX-M423F
MX-M363F
サポートが終了した製品は開発者の指示に従い回避策を実施するか、または後継機種へ交換することが推奨されている。サポート中の製品は販売店または相談窓口に連絡し、案内に従ってファームウェアをアップデートすることが推奨されている。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ
東芝テック:東芝テック製デジタル複合機の脆弱性対応について
脆弱性の情報(CVE)は次のとおり。
CVE-2024-28038 - 複合機内部のWebサーバにスタックベースのバッファーオーバーフローの脆弱性
CVE-2024-28955 - 不適切な権限設定の脆弱性。別の脆弱性を併用することで複合機の機密情報を含んだファイルを参照できる
CVE-2024-29146、CVE-2024-29978 - 不適切な機密情報保護の脆弱性。別の脆弱性を併用することで平文として保存された機密情報を閲覧できる
CVE-2024-32151 - 複合機の一部の機密情報は別の脆弱性を利用することで復号可能
CVE-2024-33605 - 複合機内部のWebサーバにパストラバーサルの脆弱性
CVE-2024-33610 - 複合機のWebページに不適切なアクセス権の脆弱性
CVE-2024-33616 - 不適切な資格情報で認証を回避し、情報にアクセスする脆弱性
CVE-2024-34162 - 複合機内部のWebサーバに資格情報漏洩の脆弱性
CVE-2024-35244 - 一部機能の資格情報をハードコーディングしている脆弱性
CVE-2024-36248 - 外部サイトの資格情報をハードコーディングしている脆弱性
CVE-2024-36249 - 複合機内部のWebサーバにクロスサイトスクリプティング(XSS)の脆弱性
CVE-2024-36251、CVE-2024-36254 - 複合機内部のWebサーバに領域外メモリ参照の脆弱性
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。下記バージョンはファームウェアバージョンの上2から4桁目を抽出したもの。
BP-70C65 310およびこれ以前のバージョン
BP-70C55 310およびこれ以前のバージョン
BP-70C45 310およびこれ以前のバージョン
BP-70C26 310およびこれ以前のバージョン
BP-60C36 310およびこれ以前のバージョン
BP-60C31 310およびこれ以前のバージョン
BP-60C26 310およびこれ以前のバージョン
BP-50C65 310およびこれ以前のバージョン
BP-50C55 310およびこれ以前のバージョン
BP-50C45 310およびこれ以前のバージョン
BP-40C36 310およびこれ以前のバージョン
BP-40C26 310およびこれ以前のバージョン
MX-8081 150およびこれ以前のバージョン
MX-6171 612およびこれ以前のバージョン
MX-5171 612およびこれ以前のバージョン
MX-4171 612およびこれ以前のバージョン
MX-3661 612およびこれ以前のバージョン
MX-3161 612およびこれ以前のバージョン
MX-2661 612およびこれ以前のバージョン
MX-6151 612およびこれ以前のバージョン
MX-5151 612およびこれ以前のバージョン
MX-4151 612およびこれ以前のバージョン
MX-3631 612およびこれ以前のバージョン
MX-2631 612およびこれ以前のバージョン
BP-30C25 123およびこれ以前のバージョン
MX-6170FN 801およびこれ以前のバージョン
MX-5170FN 801およびこれ以前のバージョン
MX-4170FN 801およびこれ以前のバージョン
MX-6170FV 801およびこれ以前のバージョン
MX-5170FV 801およびこれ以前のバージョン
MX-4170FV 801およびこれ以前のバージョン
MX-6150FN 801およびこれ以前のバージョン
MX-5150FN 801およびこれ以前のバージョン
MX-4150FN 801およびこれ以前のバージョン
MX-3650FN 801およびこれ以前のバージョン
MX-3150FN 801およびこれ以前のバージョン
MX-2650FN 801およびこれ以前のバージョン
MX-6150FV 801およびこれ以前のバージョン
MX-5150FV 801およびこれ以前のバージョン
MX-4150FV 801およびこれ以前のバージョン
MX-3650FV 801およびこれ以前のバージョン
MX-3150FV 801およびこれ以前のバージョン
MX-2650FV 801およびこれ以前のバージョン
MX-3630FN 801およびこれ以前のバージョン
MX-2630FN 801およびこれ以前のバージョン
MX-3117FN 202およびこれ以前のバージョン
MX-2517FN 202およびこれ以前のバージョン
MX-2020F 202およびこれ以前のバージョン
MX-C306W 512およびこれ以前のバージョン
MX-C305W 512およびこれ以前のバージョン
BP-70M90 303およびこれ以前のバージョン
BP-70M75 303およびこれ以前のバージョン
BP-70M65 310およびこれ以前のバージョン
BP-70M55 310およびこれ以前のバージョン
BP-70M45 310およびこれ以前のバージョン
MX-M1206 113およびこれ以前のバージョン
MX-M1056 113およびこれ以前のバージョン
MX-M7570 455およびこれ以前のバージョン
MX-M6570 455およびこれ以前のバージョン
MX-M6071 412およびこれ以前のバージョン
MX-M5071 412およびこれ以前のバージョン
MX-M4071 412およびこれ以前のバージョン
MX-M3531 412およびこれ以前のバージョン
BP-30M35 211およびこれ以前のバージョン
BP-30M31 211およびこれ以前のバージョン
BP-30M28 211およびこれ以前のバージョン
BP-30M31L 211およびこれ以前のバージョン
MX-M6070 502およびこれ以前のバージョン
MX-M5070 502およびこれ以前のバージョン
MX-M4070 502およびこれ以前のバージョン
MX-B455W 404およびこれ以前のバージョン
e-STUDIO 908 バージョン非公開
e-STUDIO 1058 バージョン非公開
e-STUDIO 1208 バージョン非公開
○サポートが終了した製品
脆弱性が存在し、サポートが終了している製品は次のとおり。
MX-6540FN
MX-5141FN
MX-5140FN
MX-4141FN
MX-4140FN
MX-3640FN
MX-3140FN
MX-2640FN
MX-5111FN
MX-5110FN
MX-4111FN
MX-4110FN
MX-3610FN
MX-3110FN
MX-2610FN
MX-C302W
MX-3611F
MX-3111F
MX-2312F
MX-2310F
MX-C381FX
MX-C381
MX-C312
MX-C310FX
MX-C310
MX-C380P
DX-C310P
MX-C312SC
MX-5001FN
MX-5000FN
MX-4101FN
MX-4100FN
MX-3600FN
MX-3100FN
MX-3100FG
MX-2600FN
MX-2600FG
MX-3112FN
MX-2311FN
MX-2301FN
MX-M1204
MX-M1054
MX-M904
MX-M754FN
MX-M654FN
MX-M565FN
MX-M465FN
MX-M365FN
MX-M564FN
MX-M464FN
MX-M356FP
MX-M316FP
MX-M266FP
MX-M316G
MX-M356FV
MX-M316FV
MX-M266FV
MX-M316GV
MX-M354FP
MX-M314FP
MX-M264FP
MX-B382
MX-B382P
MX-B382SC
MX-M753
MX-M623
MX-M503N
MX-M363N
MX-M283N
MX-M503F
MX-M423F
MX-M363F
サポートが終了した製品は開発者の指示に従い回避策を実施するか、または後継機種へ交換することが推奨されている。サポート中の製品は販売店または相談窓口に連絡し、案内に従ってファームウェアをアップデートすることが推奨されている。
