Sigurnost proizvoda

Na ovoj stranici naći ćete važne informacije o sigurnosti proizvoda tvrtke Canon

Vijesti

A vulnerability involving improper validation of symbolic links has been identified in the installers of My Image Garden for macOS and the CUPS Printer Driver for macOS. If exploited during installation of the affected software, a third party with local access to and login privileges on the PC may use a specially crafted symbolic link to modify the permissions of files or directories for which they would not normally have authorisation.

There have been no reports of this vulnerability being exploited. However, to enhance the security of the product, we advise that our customers install the latest version available for the affected models provided below.

The latest version designed to address this issue for certain products are made available on our websites. Please check the affected models and visit Support for firmware, software, and product support information.

We will continue to further strengthen our security measures to ensure that you can continue using Canon products with peace of mind. If the vulnerability is identified in other products, we will update this article.

CVE/CVSS

CVE-2026-6891: Improper handling of symbolic links in the installer of My Image Garden for macOS. CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N Base Score: 5.1.

CVE-2026-6892: Improper handling of symbolic links in the installer of the CUPS Printer Driver for macOS. CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N Base Score: 5.1.

Canon would like to thank the following researchers for identifying this vulnerability:

CVE-2026-6891 and CVE-2026-6892: Jie Wan

Update History

28 May 2026: Created.
Utvrđena je ranjivost u određenim produkcijskim pisačima i višefunkcijskim pisačima za urede / male urede. Ta ranjivost trećoj strani s administratorskim ovlastima može omogućiti pristup osjetljivim informacijama u proizvodu slanjem posebno izrađenih zahtjeva putem funkcije daljinskog upravljanja utemeljene na pregledniku.

Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnovije programske datoteke dostupne za dolje navedene modele.

Budući da je sigurnost infrastrukture za ispisivanje naših korisnika od ključne važnosti, savjetujemo da se slijede sljedeće smjernice:

Izbjegavajte izravno povezivanje proizvoda s javnim internetskim mrežama. Umjesto toga, prilikom povezivanja s internetom upotrebljavajte privatnu IP adresu u okruženju u kojem se internetu može pristupiti putem sigurne privatne mreže s vatrozidom, žičanim usmjerivačima ili Wi-Fi usmjerivačima.

Promijenite zadanu lozinku proizvoda na novu lozinku.

Postavite administratorski i opći korisnički ID i lozinke.

Pobrinite se da su lozinke i druge slične postavke za različite funkcije dovoljno složene.

Ako proizvod ima jednostruku ili višestruku provjeru autentičnosti, upotrebljavajte ih za potvrdu identiteta krajnjeg korisnika koji upotrebljava proizvod.

Budite svjesni potreba fizičke sigurnosti, uključujući i one koje se odnose na lokaciju proizvoda itd.

Više informacija o zaštiti proizvoda prilikom povezivanja s mrežom potražite ovdje.

Osim navedenih mjera, programske datoteke osmišljene za rješavanje ovih problema za određene proizvode isporučit će se putem automatskih ažuriranja ili će biti dostupne na našim web-stranicama. Provjerite zahvaćene modele i posjetite odjeljak Podrška za informacije o programskim datotekama, softveru i podršci za proizvod.

Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako je ranjivost utvrđena u drugim proizvodima, ažurirat ćemo ovaj članak.

CVE/CVSS

CVE-2026-1789: ranjivost u sučelju za daljinsko upravljanje utemeljenom na pregledniku administratoru može omogućiti pristup osjetljivim informacijama na uređaju putem izrađenih zahtjeva, a pogođeni su određeni produkcijski pisači i višefunkcijski pisači za urede / male urede. CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N Osnovna ocjena: 6.9.

Tvrtka Canon zahvaljuje sljedećim istraživačima na identificiranju ove ranjivosti:

CVE-2026-1789: Hengrui Wang i Ranganatha Rao Sridhar koji rade s tvrtkom Praetorian

Povijest ažuriranja

23. travnja 2026.: kreirano.
Opis:

OpenSSL je utvrdio ranjivost u kojoj zlonamjerni korisnik može prenijeti Cryptographic Message Syntax (CMS) poruku s prevelikim inicijalizacijskim vektorom (IV). OpenSSL kopira taj IV u međuspremnik stoga fiksne veličine bez provjere valjanosti duljine, što rezultira preopterećenjem međuspremnika stoga. Ova ranjivost utječe na raščlanjivanje CMS AuthEnvelopedData i EnvelopedData struktura OpenSSL-a koje upotrebljavaju Authenticated Encryption with Associated Data (AEAD) šifre kao što je AES-GCM.

Potencijalni učinci te ranjivosti obuhvaćaju sljedeće:

Odbijanje pružanja usluge (DoS) zbog rušenja aplikacije

Potencijalno daljinsko izvršavanje koda, ovisno o ublažavanju na platformi

Napadaču nije potreban valjan ključni materijal jer se preopterećenje međuspremnika stoga odvija prije provjere autentičnosti

IRIS je ozbiljno shvatio ovu ranjivost i potvrdio da jedan od njihovih proizvoda upotrebljava OpenSSL. Zahvaćeni proizvod je IRIS XMailFetcher.

Zahvaćene verzije:

IRIS XMailFetcher: verzija 5.0.29 i ranije.

Ispravljanje/ublažavanje:

IRIS je objavio IRIS XMailFetcher verzije 5.0.30, sigurnosno ažuriranje koje rješava ovu ranjivost (CVE-2025-15467).

Ovo izdanje ne uključuje dodatne promjene niti nove značajke i fokusirano je isključivo na rješavanje ovog problema.

Izričito preporučujemo da što prije ažurirate na verziju 5.0.30. Ako trebate pomoć s ažuriranjem, kontaktirajte naš tim za podršku.

Ispravak je dostupan u odjeljku „download center” (centar za preuzimanje), a komunikacija se može pronaći pod „Technical News” (tehničke vijesti) na portalu IRIS Partner Portal, pod naslovom „IRIS XMailFetcher 5.0.30 – CVE-2025-15467 Fix”.

Imajte na umu da je tvrtka IRIS riješila ovaj problem objavom ispravke 19. veljače 2026.

Nije bilo prijava o iskorištavanju te ranjivosti u praksi. Međutim, kako biste povećali sigurnost proizvoda, svim korisnicima savjetujemo da instaliraju najnoviji IRIS XMailFetcher verzije 5.0.30.

CVE/CVSS:

CVE-2025-15467: ranjivost preopterećenja međuspremnika stoga u OpenSSL-u koja utječe na raščlanjivanje CMS AuthEnvelopedData i EnvelopedData poruka. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.
Identificirana je ranjivost u programu IJ Scan Utility za Windows. Do te ranjivosti dolazi jer izvršna putanja Windows usluge nije u navodnicima. Ako putanja datoteke sadrži razmak, lokalni napadač mogao bi iskoristiti to stanje iskorištavanjem puta s razmacima, potencijalno omogućujući izvršenje zlonamjerne datoteke s ovlastima zahvaćene usluge.
Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnoviji MP upravljački program dostupan za zahvaćene modele navedene u nastavku.
Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako je ranjivost utvrđena u drugim proizvodima, ažurirat ćemo ovaj članak.
Imajte na umu da zahvaćeni softver obuhvaća IJ Scan Utility za Windows verzija od 1.1.2 do 1.5.0 (uključujući obje verzije). Provjerite zahvaćene modele.
MP upravljački programi koji uključuju ažurirani softver koji rješava ovaj problem dostupni su na web-stranicama podrške. Preporučujemo da naši korisnici instaliraju najnoviji MP upravljački program i provjere je li instalirana sljedeća verzija softvera: IJ Scan Utility za Windows verzije 1.6.0 ili novija.

CVE/CVSS
CVE-2026-1585: ranjivost izvršne putanje Windows usluge bez znakova navodnika u uslužnom programu IJ Scan Utility za Windows može omogućiti lokalnom napadaču izvršenje zlonamjerne datoteke s ovlastima zahvaćene usluge.
CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 8.4.
Tvrtka Canon zahvaljuje sljedećem istraživaču na identificiranju ove ranjivosti:
CVE-2026-1585: EnivalChen
Utvrđeno je nekoliko ranjivosti za određene male uredske višefunkcijske pisače i laserske pisače.

Ove ranjivosti ukazuju na mogućnost da bi, ako je proizvod izravno povezan s internetom bez upotrebe usmjerivača (žičnog ili Wi-Fi), neautentificirani udaljeni napadač mogao pokrenuti preopterećenje ili nevaljano oslobađanje međuspremnika, što bi moglo dovesti do proizvoljnog izvršavanja koda i/ili napada odbijanja pružanja usluge (DoS).

Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnovije programske datoteke dostupne za dolje navedene modele. Također preporučujemo da korisnici postave privatnu IP adresu za svoje proizvode i stvore mrežno okruženje s vatrozidom ili žičnim/Wi-Fi usmjerivačem koji može ograničiti pristup mreži.

Dodatne pojedinosti o zaštiti proizvoda kada su povezani s mrežom potražite na stranici Sigurnost proizvoda.

Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako se ranjivosti utvrde u drugim proizvodima, ažurirat ćemo ovaj članak.

Provjerite zahvaćene modele.

Posjetite Podršku za informacije o programskim datotekama, softveru i podršci za proizvod.

CVE/CVSS

CVE-2025-14231: preopterećenje međuspremnika u obradi zadatka ispisivanja WSD-a na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14232: preopterećenje međuspremnika u XML obradi XPS datoteke na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14233: nevaljano oslobađanje u obradi brisanja CPCA datoteke na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14234: preopterećenje međuspremnika u obradi CPCA popisa na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14235: preopterećenje međuspremnika u obradi podataka fpgm XPS fonta na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14236: preopterećenje međuspremnika u obradi oznake atributa adresara na malim uredskim višefunkcijskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena: 9.3.

CVE-2025-14237: preopterećenje međuspremnika u obradi raščlanjivanja XPS fonta na malim uredskim višefunkcijskim pisačima i laserskim pisačima. CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Osnovna ocjena:9.3.

Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:

CVE-2025-14231: STARLabs u suradnji s Trend Zero Day Initiative

CVE-2025-14232: GMO Cybersecurity by Ierae, Inc. u suradnji s Trend Zero Day Initiative

CVE-2025-14233: Team PetoWorks u suradnji s Trend Zero Day Initiative

CVE-2025-14234: Team ANHTUD u suradnji s Trend Zero Day Initiative

CVE-2025-14235: PHP HOOLIGANS u suradnji s Trend Zero Day Initiative

CVE-2025-14236: DEVCORE Intern Program u suradnji s Trend Zero Day Initiative

CVE-2025-14237: Team Neodyme u suradnji s Trend Zero Day Initiative

Povijest ažuriranja

06. ožujak 2026.: ažuriran popis zahvaćenih modela.
27. veljače 2026.: ažuriran popis zahvaćenih modela.
20. veljače 2026.: ažuriran popis zahvaćenih modela.
13. veljače 2026.: ažuriran popis zahvaćenih modela.
15. siječnja 2026.: kreirano.
Opis:
Therefore Corporation GmbH nedavno postala svjesna da Therefore™ Online i Therefore™ On-Premises imaju ranjivost lažnog predstavljanja računa. Zlonamjerni korisnik potencijalno bi se mogao lažno predstaviti kao račun web-usluge ili račun usluge koja upotrebljava API prilikom povezivanja s poslužiteljem Therefore™. Ako zlonamjerni korisnik dobije pristup kroz lažno predstavljanje, onda može pristupiti dokumentima koji su pohranjeni u Therefore™. Ovo lažno predstavljanje je na razini aplikacije (razina Therefore pristupa), a ne na razini operativnog sustava.

Zahvaćene verzije:
Sve verzije Therefore™ Online i Therefore™ On-Premises.

Ispravljanje/ublažavanje:
Klijenti su već dobili zakrpu za sustave Therefore™ Online. Korisnici ili administratori ne trebaju izvršavati daljnje radnje.
Za sustave Therefore™ On-Premises dostupna je instalacija hitne ispravke. Izričito preporučujemo primjenu zakrpe na svim sustavima Therefore™ On-Premises, bez obzira na verziju. Molimo svoje klijente da više informacija zatraže od lokalnog ureda tvrtke Canon ili ovlaštenog prodajnog partnera.
Imajte na umu da je tvrtka Therefore Corporation GmbH riješila ovaj problem izdavanjem hitne ispravke 20. listopada 2025.

CVE/CVSS:
CVE-2025-11843: Therefore™ Online i Therefore™ On-Premises sadrže problem lažnog predstavljanja računa koji bi potencijalno mogao napadaču omogućiti pristup svim pohranjenim podacima.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N Osnovna ocjena: 8.8.
U određenim upravljačkim programima za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače pronađene su višestruke ranjivosti. Te ranjivosti mogu omogućiti nedopušten pristup memoriji i/ili napade odbijanjem pružanja usluge (DoS) kada se ispisivanje obrađuje zlonamjernom aplikacijom.

CVE/CVSS

CVE-2025-7698: nedopuštene ranjivosti čitanja u obradi ispisa zahvaćenih upravljačkih programa pisača.

CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 5,9).

CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:L (Osnovna ocjena: 5,9).

CVE-2025-9903: nedopuštene ranjivosti pisanja u obradi ispisa zahvaćenih upravljačkih programa pisača.

CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 5,9).

CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:L (Osnovna ocjena: 5,9).

CVE-2025-9904: ranjivost nedodijeljenog pristupa memoriji u obradi ispisa zahvaćenog upravljačkog programa pisača.

CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 6,9).

CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Osnovna ocjena: 5,3).

Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:

CPE2025-005 Ispravljanje ranjivosti za određene upravljačke programe pisača za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače

Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:

CVE-2025-7698: Joseph Eastoe koji radi s timom Microsoft Offensive Research and Security Engineering (MORSE)

Povijest ažuriranja

13. Ožujka 2026.: Dodani zahvaćeni upravljački programi pisača (LIPS4 upravljački program pisača, LIPSLX upravljački program pisača, UFR II upravljački program pisača, PS upravljački program pisača i PCL6 upravljački program pisača) na vezi
15. siječnja 2026.: poveznici su dodani pogođeni upravljački programi pisača (UFRII LT upravljački program pisača, CARPS2 upravljački program pisača i Generic FAX Driver)
25 rujna 2025.: kreirano
Tvrtka Canon U.S.A., Inc. nedavno je utvrdila da Canon EOS Webcam Utility Pro za MAC OS sadrži ranjivost neprimjerenih dopuštenja za direktorij. Iskorištavanje ove potencijalne ranjivosti zahtijeva administratorski pristup zlonamjernog korisnika. Napadač bi mogao izmijeniti direktorij, što bi moglo rezultirati izvršenjem koda i dovesti do povećanja povlastica.
Iako nismo primili prijave o iskorištavanju, preporučujemo da pročitate poveznicu sa savjetima za sigurnost.
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
Savjeti za sigurnost: ublažavanje/ispravljanje ranjivosti za Canon EOS Webcam Utility Pro za MAC OS
Utvrđena je ranjivost „passback” koja može utjecati na neke produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače tvrtke Canon. Ta ranjivost može zlonamjernom počinitelju omogućiti da dobije informacije o provjeri autentičnosti kao što su SMTP/LDAP veze konfigurirane u proizvodu ako je u mogućnosti dobiti administratorske povlastice na proizvodu.

Budući da je sigurnost infrastrukture za ispisivanje naših korisnika od ključne važnosti, savjetujemo da se slijede sljedeće smjernice:
Izbjegavajte izravno povezivanje proizvoda s javnim internetskim mrežama. Umjesto toga, prilikom povezivanja s internetom upotrebljavajte privatnu IP adresu u okruženju u kojem se internetu može pristupiti putem sigurne privatne mreže s vatrozidom, žičanim usmjerivačima ili Wi-Fi usmjerivačima.
Promijenite zadanu lozinku proizvoda na novu lozinku.
Postavite administratorski i opći korisnički ID i lozinke.
Pobrinite se da su lozinke i druge slične postavke za različite funkcije dovoljno složene.
Ako proizvod ima jednostruku ili višestruku provjeru autentičnosti, upotrebljavajte ih za potvrdu identiteta krajnjeg korisnika koji upotrebljava proizvod.
Budite svjesni potreba fizičke sigurnosti, uključujući i one koje se odnose na lokaciju proizvoda itd.

Više informacija o zaštiti proizvoda prilikom povezivanja s mrežom potražite ovdje.

Objavljena su i ažuriranja programskih datoteka kako bi se niz naših uređaja zaštitio od ove ranjivosti. Provjerite zahvaćene modele i posjetite podršku za informacije o programskim datotekama, softveru i podršci za proizvod ili se obratite lokalnoj korisničkoj podršci.

CVE/CVSS

CVE-2025-3078:
„passback” ranjivost koja se odnosi na produkcijske pisače i uredske višefunkcijske pisače.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (Osnovna ocjena: 6,3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (Osnovna ocjena: 8,7).

CVE-2025-3079:
„passback” ranjivost koja se odnosi na uredske / male uredske višefunkcijske pisače i laserske pisače.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N (Osnovna ocjena: 6,3).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N (Osnovna ocjena: 8,7).

Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:
CVE-2025-3078: Christopher Haller koji radi s tvrtkom Centripetal.
CVE-2025-3079: Vladislav Volozhenko, neovisni istraživač sigurnosti.
U određenim upravljačkim programima pisača pronađena je nedopuštena ranjivost koja može utjecati na niz produkcijskih pisača, uredskih / malih uredskih višefunkcijskih pisača i laserskih pisača tvrtke Canon. Ta ranjivost može uzrokovati sigurnosni problem, uključujući sprječavanje ispisivanja u slučaju obrade zlonamjernog zadatka ispisa u osjetljivom upravljačkom programu pisača. Postoji i mogućnost izvršavanja proizvoljnog koda kada zahvaćeni upravljački program pisača obradi ispis.

Budući da je sigurnost infrastrukture za ispisivanje naših korisnika od ključne važnosti, ažurirani upravljački program pisača za upravljačke programe V3.15 i novije sada je dostupan na stranicama za poslovnu podršku tvrtke Canon Europe, kao i na lokalnim stranicama. Korisnicima se preporučuje preuzimanje novog softvera kako bi se problem riješio. Više pojedinosti potražite u nastavku.

CVE/CVSS

CVE-2025-1268: nedopuštena ranjivost u obradi ponovnog kodiranja EMF-a zahvaćenog upravljačkog programa pisača.

CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 9,3).

CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L (Osnovna ocjena: 9,4).

Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:

CP2025-003 Ispravljanje ranjivosti za određene upravljačke programe pisača za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače

Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:

CVE-2025-1268: Robert Ord koji radi s timom Microsoft Offensive Research and Security Engineering (MORSE)

Povijest ažuriranja

13. Ožujka 2026.: Dodani zahvaćeni upravljački programi pisača (LIPS4 upravljački program pisača, LIPSLX upravljački program pisača, UFR II upravljački program pisača, PS upravljački program pisača i PCL6 upravljački program pisača) na vezi
16. lipnja 2025.: dodan je zahvaćeni upravljački program pisača (upravljački program za PDF) na poveznici
8. svibnja 2025.: dodani su zahvaćeni upravljački programi pisača (UFRII LT i CARPS2) na poveznici
17. travnja 2025.: dodan je zahvaćeni upravljački program pisača (Generic FAX) na poveznici
28. ožujka 2025.: stvoreno.
Otkrivene su nedopuštene ranjivosti za određene upravljačke programe pisača za uredske / male uredske višefunkcijske pisače i laserske pisače koje mogu spriječiti ispisivanje kada se ispiše izrađeni XPS dokument.

CVE/CVSS

CVE-2025-0234: nedopuštena ranjivost u obradi segmentacije krivulje zahvaćenog upravljačkog programa pisača.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Osnovna ocjena: 5,3).

CVE-2025-0235: nedopuštena ranjivost zbog neodgovarajućeg oslobađanja memorije tijekom iscrtavanja slika u zahvaćenom upravljačkom programu pisača.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Osnovna ocjena: 5,3).

CVE-2025-0236: nedopuštena ranjivost u obradi nagiba tijekom iscrtavanja krivulje u zahvaćenom upravljačkom programu pisača.
CVSS v4 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N (Osnovna ocjena: 6,9).
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Osnovna ocjena: 5,3).

Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
CP2025-002 Ublažavanje ranjivosti za određene upravljačke programe pisača za uredske / male uredske višefunkcijske pisače i laserske pisače

Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:
CVE-2025-0234, CVE-2025-0235 i CVE-2025-0236: devoke@HUST, wh1tc i Zhiniang Peng (@edwardzpeng) koji rade sa sigurnosnim timom Kap0k
Utvrđeno je nekoliko ranjivosti za određene male uredske višefunkcijske pisače i laserske pisače.
Ove ranjivosti ukazuju na mogućnost da će, ako je proizvod povezan izravno na internet bez korištenja usmjerivača (žičanog ili Wi-Fi), neidentificirani udaljeni napadač možda moći izvršiti proizvoljnu šifru na uređaju. Proizvod će možda moći napasti i putem interneta u napadu koji uključuje odbijanje pružanja usluge (DoS).
<Preopterećenje međuspremnika>
CVE-2024-12647
CVE-2024-12648
CVE-2024-12649
CVE-2025-2146
Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnovije programske datoteke dostupne za dolje navedene modele. Također preporučujemo da korisnici postave privatnu IP adresu za svoje proizvode i stvore mrežno okruženje s vatrozidom ili žičnim/Wi-Fi usmjerivačem koji može ograničiti pristup mreži.
Dodatne pojedinosti o zaštiti proizvoda kada su povezani s mrežom potražite na stranici Sigurnost proizvoda.
Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako se ranjivosti utvrde u drugim proizvodima, ažurirat ćemo ovaj članak.
Provjerite zahvaćene modele.
Posjetite Podršku za informacije o programskim datotekama, softveru i podršci za proizvod.
Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:
CVE-2024-12647: ExLuck (@ExLuck99) iz ANHTUD-a koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2024-12648: Neodyme (@Neodyme) koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2024-12649: PHP Hooligans / Midnight Blue (@midnightbluelab) koji rade s inicijativom Zero Day platforme Trend Micro
CVE-2025-2146: YingMuo (@YingMuo) iz programa za pripravništvo DEVCORE koji radi s inicijativom Zero Day platforme Trend Micro
Povijest ažuriranja
20. veljače 2026.: ažuriran popis zahvaćenih modela.
20. lipnja 2025.: ažuriran popis zahvaćenih modela.
22. svibnja 2025.: dodan CVE ID (CVE-2025-2146) povezan s istom serijom proizvoda.
21. veljače 2025.: ažuriran popis zahvaćenih modela.
27. siječnja 2025.: stvoreno.
Potencijalni problem jedinstvenosti ID kartice utvrđen je u čitačima kartica tvrtke NT-ware (izvorno razvila i isporučila tvrtka rf IDEAS) i objavljen u CVE-2024-1578.
Iako nismo primili prijave o iskorištavanju, preporučujemo da pročitate poveznicu sa savjetima za sigurnost.
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
Savjeti za sigurnost: više čitača kartica MiCard PLUS ispustilo je znakove
Potencijalna osjetljivost na ugrozu po pitanju registracije uređaja utvrđena je u sustavu uniFLOW Online i objavljena u CVE-2024-1621.
Iako nismo primili prijave o iskorištavanju, preporučujemo da pročitate poveznicu sa savjetima za sigurnost.
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
Savjeti za sigurnost: registracija uređaja podložna je ugrozi
Za određene male uredske višefunkcijske pisače i laserske pisače pronađena je ranjivost povezana s preopterećenjem međuspremnika u procesu WSD protokola.
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
CP2024-002 – Ublažavanje/ispravljanje ranjivosti za male uredske višefunkcijske pisače i laserske pisače – Canon PSIRT
Utvrđeno je nekoliko ranjivosti za određene male uredske višefunkcijske pisače i laserske pisače.
Ove ranjivosti ukazuju na mogućnost da će, ako je proizvod povezan izravno na internet bez korištenja usmjerivača (žičanog ili Wi-Fi), neidentificirani udaljeni napadač možda moći izvršiti proizvoljnu šifru na uređaju. Proizvod će možda moći napasti i putem interneta u napadu koji uključuje odbijanje pružanja usluge (DoS).
<Preopterećenje međuspremnika>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244
Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnovije programske datoteke dostupne za dolje navedene modele. Također preporučujemo da korisnici postave privatnu IP adresu za svoje proizvode i stvore mrežno okruženje s vatrozidom ili žičnim/Wi-Fi usmjerivačem koji može ograničiti pristup mreži.
Dodatne pojedinosti o zaštiti proizvoda kada su povezani s mrežom potražite na stranici Sigurnost proizvoda.
Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako se ranjivosti utvrde u drugim proizvodima, ažurirat ćemo ovaj članak.
Provjerite zahvaćene modele.
Posjetite Podršku za informacije o programskim datotekama, softveru i podršci za proizvod.
Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:
CVE-2023-6229: Nguyen Quoc (Vijetnam) koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-6230: anonimna osoba koja radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-6231: Tim Viettel koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-6232: ANHTUD koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-6233: ANHTUD koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-6234: Tim Viettel koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2024-0244: Connor Ford (@ByteInsight) iz tvrtke Nettitude koji radi s inicijativom Zero Day platforme Trend Micro
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
CP2023-003 Ublažavanje/ispravljanje ranjivosti za titne pisače (kućni i uredski / veliki format) – Canon PSIRT
Opis
Utvrđene su dvije ranjivosti za IJ Network Tool (dalje u tekstu „softver”). Te ranjivosti ukazuju na mogućnost da napadač povezan s istom mrežom kao i pisač dobije osjetljive informacije o postavljanju Wi-Fi veze pisača upotrebljavajući softver ili prateći njegovu komunikaciju.

CVE/CVSS
CVE-2023-1763: dohvaćanje osjetljivih informacija o postavljanju Wi-Fi veze pisača iz softvera. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Osnovna ocjena: 6,5.
CVE-2023-1764: dohvaćanje osjetljivih informacija o postavljanju Wi-Fi veze pisača iz komunikacije softvera. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Osnovna ocjena: 6,5.

Zahvaćeni proizvodi
CVE-2023-1763 utječe na sljedeće modele:
Mrežni alat sustava Mac:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Poslužitelj za bežično ispisivanje WP-20
Mrežni alat sustava Windows:
Nije primjenjivo
CVE-2023-1764 utječe na sljedeće modele:
Mrežni alat sustava Mac:
MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Poslužitelj za bežično ispisivanje WP-20
Mrežni alat sustava Windows:
MAXIFY iB4040, MAXIFY iB4050
MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350
PIXMA E464, PIXMA E484
PIXMA G3400, PIXMA G3500, PIXMA G3501
PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750
PIXMA iX6840, PIXMA iX6850, PIXMA iX7000
PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250
PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990
PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925
PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S
Poslužitelj za bežično ispisivanje WP-20
Zahvaćene verzije
CVE-2023-1763 utječe na sljedeće verzije:
Mrežni alat sustava Mac:
Ver. 4.7.5 i ranije verzije (podržani operacijski sustavi: OS X 10.9.5 – MacOS 13)
Ver. 4.7.3 i starije verzije (podržani operacijski sustavi: OS X 10.7.5 – OS X 10.8)

Mrežni alat sustava Windows:
Nije primjenjivo

CVE-2023-1764 utječe na sljedeće verzije:
Mrežni alat sustava Mac:
Ver. 4.7.5 i ranije verzije (podržani operacijski sustavi: OS X 10.9.5 – MacOS 13)
Ver. 4.7.3 i starije verzije (podržani operacijski sustavi: OS X 10.7.5 – OS X 10.8)

Mrežni alat sustava Windows:
Ver. 3.7.0

Ublažavanje/ispravljanje
Za CVE-2023-1763:
Rješenje za ovu ranjivost je korištenje pisača s pouzdanom mrežnom vezom. Ovdje potražite „Sigurnost proizvoda koji se povezuje s mrežom”.
Osim toga, za mrežni alat sustava Mac preuzmite ažurirane verzije softvera.
Ako želite saznati kako ažurirati softver za tintne pisače MAXIFY i PIXMA na verziju 4.7.6 (podržani operacijski sustav: OS X 10.9.5 – MacOS 13) ili verziju 4.7.4 (podržani operacijski sustav: OS X 10.7.5 – OS X 10.8), posjetite stranicu za preuzimanje softvera Podrška za potrošački proizvod i odaberite svoj model, odaberite karticu Softver i odaberite IJ mrežni alat ili pomoćnik za Wi-Fi vezu.
Za CVE-2023-1764:
Rješenje za ovu ranjivost je korištenje pisača s pouzdanom mrežnom vezom. Ovdje potražite „Sigurnost proizvoda koji se povezuje s mrežom”.
Zahvale
Tvrtka Canon želi zahvaliti Nacionalnom centru za kibernetičku sigurnost u Nizozemskoj na prijavljivanju tih ranjivosti.
Utvrđeno je nekoliko ranjivosti za određene uredske / male uredske višefunkcijske pisače, laserske pisače i tintne pisače.
Ove ranjivosti ukazuju na mogućnost da će, ako je proizvod povezan izravno na internet bez korištenja usmjerivača (žičanog ili Wi-Fi), neidentificirani udaljeni napadač možda moći izvršiti proizvoljnu šifru na uređaju. Proizvod će možda moći napasti i putem interneta u napadu koji uključuje odbijanje pružanja usluge (DoS). Napadač također može moći instalirati proizvoljne datoteke zbog nepravilne provjere autentičnosti udaljenog korisničkog sučelja.
<Preopterećenje međuspremnika>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974
<Problemi tijekom početne registracije administratora sustava u kontrolnim protokolima>
CVE-2023-0857
<Neodgovarajuća provjera autentičnosti udaljenog korisničkog sučelja>
CVE-2023-0858
<Instalacija proizvoljnih datoteka>
CVE-2023-0859
Nije bilo prijava u vezi s iskorištavanjem tih ranjivosti. Međutim, kako bi se poboljšala sigurnost proizvoda, preporučujemo da naši korisnici instaliraju najnovije programske datoteke dostupne za dolje navedene modele. Također preporučujemo da korisnici postave privatnu IP adresu za svoje proizvode i stvore mrežno okruženje s vatrozidom ili žičnim/Wi-Fi usmjerivačem koji može ograničiti pristup mreži.
Dodatne pojedinosti o zaštiti proizvoda kada su povezani s mrežom potražite na stranici Sigurnost proizvoda.
Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako se ranjivosti utvrde u drugim proizvodima, ažurirat ćemo ovaj članak.
Provjerite zahvaćene modele.
Posjetite Podršku za informacije o programskim datotekama, softveru i podršci za proizvod.
Upute o načinu ažuriranja programskih datoteka za tintne pisače MAXIFY, PIXMA i imagePROGRAF potražite u priručniku na mreži.
Tvrtka Canon zahvaljuje sljedećim istraživačima na utvrđivanju ovih ranjivosti:
CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD koji rade s inicijativom Zero Day platforme Trend Micro
CVE-2023-0852: R-SEC, Nettitude koji rade s inicijativom Zero Day platforme Trend Micro
CVE-2023-0853: DEVCORE koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-0854: DEVCORE koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-0855: Chi Tran koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-0856: Tim Viettel koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2023-0857: Alex Rubin i Martin Rakhmanov
CVE-2023-0858: Alex Rubin i Martin Rakhmanov
CVE-2023-0859: Alex Rubin i Martin Rakhmanov
Potencijalna ranjivost izlaganja podataka utvrđena je u poslužitelju uniFLOW Server i uniFLOW Remote Print.
Iako nismo zaprimili prijave o iskorištavanju, preporučujemo da nadogradite svoju implementaciju na najnoviju verziju.
Pojedinosti o ranjivosti, ublažavanju i ispravljanju možete pronaći na:
Savjeti za sigurnost: ranjivost tehničke podrške MOM – podrška NT-ware
Više slučajeva ranjivosti preopterećenja međuspremnika utvrđeno je kod laserskih pisača tvrtke Canon i malih uredskih višefunkcijskih pisača.
Iako nismo zaprimili prijave o iskorištavanju, preporučujemo da nadogradite programske datoteke uređaja na najnoviju verziju.
Ta ranjivost upućuje na to da bi, ako je proizvod povezan izravno na internet bez korištenja žičanog ili Wi-Fi usmjerivača, treća strana na internetu mogla izvršiti proizvoljni kod ili bi proizvod mogao biti izložen napadu koji uključuje odbijanje pružanja usluge (DoS).
Ne preporučujemo izravno povezivanje s internetom – upotrebljavajte privatnu IP adresu na zaštićenoj privatnoj mreži konfiguriranoj putem vatrozida ili žičnog/Wi-Fi usmjerivača. „Sigurnost proizvoda koji se povezuje s mrežom” potražite na www.canon-europe.com/support/product-security.
Nastavit ćemo dodatno jačati sigurnosne mjere kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako je ranjivost utvrđena u drugim proizvodima, ažurirat ćemo ovaj članak.
Provjerite zahvaćene modele.
Posjetite Podršku za informacije o programskim datotekama softveru i podršci za proizvod.
Tvrtka Canon zahvaljuje sljedećem istraživaču na utvrđivanju ove ranjivosti.
CVE-2022-43608: Angelboy (@scwuaptx) iz istraživačkog tima DEVCORE koji radi s inicijativom Zero Day platforme Trend Micro
Više slučajeva ranjivosti preopterećenja međuspremnika utvrđeno je kod laserskih pisača tvrtke Canon i malih uredskih višefunkcijskih pisača. Povezani CVE-ovi su: CVE-2022-24672, CVE-2022-24673 i CVE-2022-24674. U nastavku je naveden popis zahvaćenih modela.
Iako nismo zaprimili prijave o iskorištavanju, nadogradite programske datoteke uređaja na najnoviju verziju.
Ta ranjivost upućuje na mogućnost da bi, ako je proizvod povezan izravno na internet bez korištenja žičanog ili Wi-Fi usmjerivača, treća strana na internetu mogla izvršiti proizvoljni kod ili bi proizvod mogao biti izložen napadu koji uključuje odbijanje pružanja usluge (DoS).
Ne preporučujemo izravno povezivanje s internetom – upotrebljavajte privatnu IP adresu na zaštićenoj privatnoj mreži konfiguriranoj putem vatrozida ili žičnog/Wi-Fi usmjerivača. „Sigurnost proizvoda koji se povezuje s mrežom” potražite na www.canon-europe.com/support/product-security.
Nastavit ćemo raditi na dodatnom jačanju sigurnosnih mjera kako bismo osigurali bezbrižnu upotrebu proizvoda tvrtke Canon. Ako se ranjivosti utvrde u drugim proizvodima, odmah ćemo ažurirati ovaj članak.
Laserski pisači i mali uredski višefunkcijski pisači koji zahtijevaju protumjeru:

imageRUNNER 1133, 1133A, 1133iF3
imageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
imageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z
Posjetite Podršku za informacije o programskim datotekama softveru i podršci za proizvod.
Tvrtka Canon zahvaljuje sljedećim osobama na utvrđivanju ove ranjivosti:
CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho) iz @Synacktiv koji rade s inicijativom Zero Day platforme Trend Micro
CVE-2022-24673: Angelboy (@scwuaptx) iz istraživačkog tima DEVCORE koji radi s inicijativom Zero Day platforme Trend Micro
CVE-2022-24674: Nicolas Devilers (@nikaiw), Jean-Romain Garnier i Raphael Rigo (@_trou_) koji rade s inicijativom Zero Day platforme Trend Micro

Aplikacija Spring MVC ili Spring WebFlux koja radi na platformi JDK 9+ može biti podložna daljinskom izvršavanju koda (RCE) putem povezivanja podataka. Specifično iskorištavanje zahtijeva da aplikacija radi na softveru kao WAR implementacija. Ako se aplikacija implementira kao izvršivi jar Spring Boot, tj. prema zadanom, nije podložna iskorištavanju. Međutim, priroda ranjivosti je općenitija, a možda postoje i drugi načini njezina iskorištavanja. Zlonamjeran dokument može učiniti gotovo sve: objaviti podatke ili tajne, pokrenuti druge softvere kao što je ucjenjivački softver, rudariti kriptovalute, uvesti zaobilazne pristupe ili stvoriti prolaz dalje u mrežu.

https://cpp.canon/products-technologies/security/latest-news/

Cilj je ove stranice popisati proizvode Canon Production Printing (CPP) na koje mogu utjecati sljedeće prijave CVE-ova:

CVE-2022-22947
CVE-2022-22950
CVE-2022-22963
CVE-2022-22965

Tablica u nastavku prikazuje status ranjivosti za navedeni hardver i softver za produkcijski ispis tvrtke Canon. Redovito provjeravajte stanje kako biste bili informirani o ažuriranju statusa.

Procijenjeni proizvodi i status

CTS – sustavi s pojedinačnim listovima i tonerima / tintni tiskarski stroj s ulaganjem listova

Proizvodi	Status
Proizvodi temeljeni na poslužitelju za ispisivanje PRISMAsync	Bez utjecaja
Serija varioPRINT 140	Bez utjecaja
Serija varioPRINT 6000	Bez utjecaja
Serija varioPRINT i	Bez utjecaja
Serija varioPRINT iX	Bez utjecaja
Service Control Station (SCS) za serije VPi300 i VPiX	Bez utjecaja
Tablet za serije VPi300 i VPiX	Bez utjecaja
Simulator PRISMAsync i300/IX	Bez utjecaja
PRISMAprepare V6	Bez utjecaja
PRISMAprepare V7	Bez utjecaja
PRISMAprepare V8	Bez utjecaja
PRISMAdirect V1	Bez utjecaja
PRISMAprofiler	Bez utjecaja
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Bez utjecaja

PPP – proizvodi za produkcijsko ispisivanje

Proizvodi	Status
ColorStream 3×00 ColorStream 3x00Z	Bez utjecaja
Colorstream 6000	Bez utjecaja
ColorStream 8000	Bez utjecaja
ProStream 1×00	Bez utjecaja
Serija LabelStream 4000	Bez utjecaja
ImageStream	Bez utjecaja
JetStream V1 JetStream V2	Bez utjecaja
VarioStream 4000	Bez utjecaja
Serija VarioStream 7000	Bez utjecaja
VarioStream 8000	Bez utjecaja
PRISMAproduction Server V5	Bez utjecaja
PRISMAproduction Host	Bez utjecaja
PRISMAcontrol	Bez utjecaja
PRISMAspool	Bez utjecaja
PRISMAsimulate	Dostupna je nova verzija*
TrueProof	Bez utjecaja
DocSetter	Bez utjecaja
DPconvert	Bez utjecaja

* Obratite se lokalnom servisnom predstavniku tvrtke Canon

LFG – grafički prikazi velikih formata

Proizvodi	Status
Serija Arizona	pod istragom
Serija Colorado	Bez utjecaja
ONYX HUB	pod istragom
ONYX Thrive	pod istragom
ONYX ProductionHouse	pod istragom

TDS – sustavi tehničke dokumentacije

Proizvodi	Status
Serija TDS	Bez utjecaja
Serija PlotWave	Bez utjecaja
Serija ColorWave	Bez utjecaja
Scanner Professional	Bez utjecaja
Driver Select, Driver Express, Publisher Mobile	Bez utjecaja
Publisher Select	Bez utjecaja
Account Console	Bez utjecaja
Repro Desk	Bez utjecaja

Servisni i pomoćni alati

Proizvodi	Status
Na udaljenoj usluzi	Bez utjecaja

Ranjivost je potvrđena u procesu generiranja RSA ključa u kriptografskoj biblioteci postavljenoj u poslovnim / malim uredskim višefunkcijskim pisačima i laserskim/tintim pisačima tvrtke Canon. U nastavku je naveden cijeli popis zahvaćenih proizvoda.
Opasnost od ove ranjivosti mogućnost je da privatni ključ za RSA javni ključ netko procijeni zbog problema u procesu generiranja RSA para ključeva.
Ako se RSA par ključeva upotrebljava za TLS ili IPSec, a generira ga kriptografska biblioteka s ovom ranjivošću, ovaj RSA javni ključ može preuzeti treća strana ili čak može biti krivotvoren.
Do sada nismo primili prijave incidenata u vezi s ovom ranjivosti; korisnici mogu biti sigurni ako se rješavaju programske datoteke zahvaćenih proizvoda
Ako je RSA par ključeva stvorila kriptografska biblioteka s ovom ranjivošću, nakon ažuriranja programskih datoteka potrebni su dodatni koraci. Ovisno o zahvaćenome, pogledajte korake za provjeru ključa i mjere koje je potrebno poduzeti u nastavku kako biste poduzeli ispravne radnje.
Osim toga, proizvode nemojte povezivati izravno s internetom, već upotrebljavajte vatrozid, žično povezano okruženje ili sigurno zaštićeno okruženje privatne mreže ako upotrebljavajte Wi-Fi usmjerivač. Postavite i privatnu IP adresu.
Pojedinosti potražite u odjeljku Zaštita proizvoda prilikom povezivanja s mrežom.
Poslovni / mali uredski višefunkcijski pisači i laserski pisači / tintni pisači koji zahtijevaju tu mjeru.
imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300,PRO-S1/PRO-200
imagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, iR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P
Koraci za provjeru i rješavanje problema s ključem za tintne pisače
Posjetite Podršku za informacije o programskim datotekama softveru i podršci za proizvod.

Trenutačno istražujemo utjecaj ranjivosti „Log4j”https://logging.apache.org/log4j/2.x/security.html na proizvode tvrtke Canon. Kad dobijemo više informacija, ažurirat ćemo ovaj članak.

Tablica u nastavku prikazuje status ranjivosti za navedeni hardver i softver. Redovito provjeravajte novosti.

Proizvod	Status/izjava
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Ovi uređaji nisu zahvaćeni.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Remote Support Operator Kit • Content Delivery Service • Device Settings Configurator • Canon Reporting Service Online • OS400 Object Generator • CQue Driver • SQue Driver	Softver nije zahvaćen.
Canon Production Printing • PRISMA sustavi s pojedinačnim listovima i tonerima • Kontinuirano ispisivanje • Grafički prikazi velikih formata • Sustavi tehničke dokumentacije	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Izjava za Scan2x o ranjivosti Log4J – Scan2x
Cirrato • Cirrato One • Cirrato Embedded	Nije zahvaćeno.
Compart • DocBridge Suite	Informacije – Compart
Docspro • Import Controller • XML Importer • Email Importer • Knowledge Base • Universal Test Release • Advanced PDF Creator • Webservice Export Connector	Nije zahvaćeno.
Docuform • Mercury Suite	Nije zahvaćeno.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Nije zahvaćeno.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Genius MFP Canon Client	Ranjivost Log4j Zero Day – Genius Bytes Nije zahvaćeno
BLENDA • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 & 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Discover Assessment Web Survey	Nije zahvaćeno.
Netaphor • SiteAudit	Izloženost ranjivosti SiteAudit \| Baza znanja Netaphor SiteAudit(TM)
Netikus • EventSentry	Utječe li Log4Shell Log4j RCE CVE-2021-44228 na EventSentry \| EventSentry
Newfield IT • Asset DB	Nije zahvaćeno.
Objectif Lune • Connect	Prošle verzije Objectif Lune Connect upotrebljavale su modul log4j, ali je uklonjen iz softvera s izdanjem Objectif Lune Connect 2018.1. Ako imate verziju Objectif Lune Connect koja je 2018.1 ili novija, ranjivost nije prisutna.
OptimiDoc • OptimiDoc	OptimiDoc \| Log4j informacije
Overall • Print In City	Nije zahvaćeno.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) – Kako to utječe na PaperCut? \| PaperCut
Paper River • TotalCopy	Nije zahvaćeno.
Ringdale • FollowMe Embedded	Nije zahvaćeno.
Quadient • Inspire Suite	Informacije za postojeće korisnike Quadient University Log4J
T5 Solutions • TG-PLOT/CAD-RIP	Nije zahvaćeno.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Tungsten • PowerPDF • eCopy ShareScan • Robotic Process Automation • Tungsten Communication Manager Solution	Tungsten proizvodi i informacije o ranjivosti Apache Log4j2 – Tungsten Nije zahvaćeno. Dok ShareScan zakrpe ne budu spremne, slijedite korake u članku ShareScan and Log4j vulnerability (CVE-2021-44228) – Tungsten. Dostupne su zakrpe. Pogledajte članak Tungsten RPA CVE-2021-44228 log4j Security Exploit Information. Dostupne su zakrpe. Pogledajte članak log4j vulnerability in Tungsten Communications Manager.
Westpole • Intelligent Print Management	Nije zahvaćeno.

Proizvod

Status/izjava

Canon

• imageRUNNER

• imageRUNNER ADVANCE

• imagePRESS

• i-SENSYS

• i-SENSYS X

• imagePROGRAF

• imageFORMULA

Ovi uređaji nisu zahvaćeni.

Canon

• imageWARE Management Console

• imageWARE Enterprise Management Console

• eMaintenance Optimiser

• eMaintenance Universal Gateway

• Canon Data Collection Agent

• Remote Support Operator Kit

• Content Delivery Service

• Device Settings Configurator

• Canon Reporting Service Online

• OS400 Object Generator

• CQue Driver

• SQue Driver

Softver nije zahvaćen.

Canon Production Printing

• PRISMA sustavi s pojedinačnim listovima i tonerima

• Kontinuirano ispisivanje

• Grafički prikazi velikih formata

• Sustavi tehničke dokumentacije

https://cpp.canon/products-technologies/security/latest-news/

NT-ware

• uniFLOW

• uniFLOW Online

• uniFLOW Online Express

• uniFLOW sysHub

• PRISMAsatellite

https://www.uniflow.global/en/security/security-and-maintenance/

Avantech

• Scan2x

• Scan2x Online

Izjava za Scan2x o ranjivosti Log4J – Scan2x

Cirrato

• Cirrato One

• Cirrato Embedded

Nije zahvaćeno.

Compart

• DocBridge Suite

Informacije – Compart

Docspro

• Import Controller

• XML Importer

• Email Importer

• Knowledge Base

• Universal Test Release

• Advanced PDF Creator

• Webservice Export Connector

Nije zahvaćeno.

Docuform

• Mercury Suite

Nije zahvaćeno.

Doxsense

• WES Pull Print 2.1

• WES Authentication 2.1

Nije zahvaćeno.

EFI

• Fiery

https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US

Genius Bytes

• Genius MFP Canon Client

Ranjivost Log4j Zero Day – Genius Bytes

Nije zahvaćeno

BLENDA

• IRISXtract

• IRISPowerscan

• Readiris PDF 22

• Readiris 16 & 17

• Cardiris

• IRISPulse

IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)

Kantar

• Discover Assessment Web Survey

Nije zahvaćeno.

Netaphor

• SiteAudit

Izloženost ranjivosti SiteAudit | Baza znanja Netaphor SiteAudit(TM)

Netikus

• EventSentry

Utječe li Log4Shell Log4j RCE CVE-2021-44228 na EventSentry | EventSentry

Newfield IT

• Asset DB

Nije zahvaćeno.

Objectif Lune

• Connect

Prošle verzije Objectif Lune Connect upotrebljavale su modul log4j, ali je uklonjen iz softvera s izdanjem Objectif Lune Connect 2018.1. Ako imate verziju Objectif Lune Connect koja je 2018.1 ili novija, ranjivost nije prisutna.

OptimiDoc

• OptimiDoc

OptimiDoc | Log4j informacije

Overall

• Print In City

Nije zahvaćeno.

PaperCut

• PaperCut

Log4Shell (CVE-2021-44228) – Kako to utječe na PaperCut? | PaperCut

Paper River

• TotalCopy

Nije zahvaćeno.

Ringdale

• FollowMe Embedded

Nije zahvaćeno.

Quadient

• Inspire Suite

Informacije za postojeće korisnike Quadient University Log4J

T5 Solutions

• TG-PLOT/CAD-RIP

Nije zahvaćeno.

Therefore

• Therefore

• Therefore Online

https://therefore.net/log4j-therefore-unaffected/

Tungsten

• PowerPDF

• eCopy ShareScan

• Robotic Process Automation

• Tungsten Communication Manager Solution

Tungsten proizvodi i informacije o ranjivosti Apache Log4j2 – Tungsten

Nije zahvaćeno.

Dok ShareScan zakrpe ne budu spremne, slijedite korake u članku ShareScan and Log4j vulnerability (CVE-2021-44228) – Tungsten.

Dostupne su zakrpe. Pogledajte članak Tungsten RPA CVE-2021-44228 log4j Security Exploit Information.

Dostupne su zakrpe. Pogledajte članak log4j vulnerability in Tungsten Communications Manager.

Westpole

• Intelligent Print Management

Nije zahvaćeno.

Ranjivost koja uključuje skriptiranje na više lokacija utvrđena je u funkciji udaljenog korisničkog sučelja laserskih pisača i višefunkcijskih uređaja za male urede tvrtke Canon – pogledajte zahvaćene modele (broj za identifikaciju ranjivosti: JVN # 64806328).
Kako bi se ta ranjivost mogla iskoristiti, napadač mora biti u administratorskom načinu rada. Iako nije bilo prijava gubitka podataka, preporučujemo instalaciju najnovijih programskih datoteka kako bi se poboljšala sigurnost. Ažuriranja možete naći na https://www.canon-europe.com/support/.
Preporučujemo i postavljanje privatne IP adrese i mrežno okruženje koje osigurava uspostavljanje veze putem vatrozida ili Wi-Fi usmjerivača koji može ograničiti pristup mreži. Dodatne pojedinosti o sigurnosnim mjerama prilikom povezivanja uređaja s mrežom potražite na https://www.canon-europe.com/support/product-security/.
Zahvaćeni proizvodi:
iSENSYS
LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw
imageRUNNER
2206IF
2204N, 2204F
Ranjivost usmjerivača ispisa na sustavu Microsoft Windows otkrivena je ranije ove godine i naziva se „PrintNightmare”. Ranjivost hakerima omogućuje da preuzmu kontrolu nad sustavima OS-a Windows u određenim uvjetima.
Iako to može utjecati na korisnike uređaja tvrtke Canon, to je rezultat pogreške u softveru tvrtke Microsoft, a ne problema s proizvodima ili softverom tvrtke Canon. Konkretno, problem je povezan s funkcijom usmjerivača ispisa koja je instalirana na svakom sustavu Windows Server i stolnom računalu Windows.
Tvrtka Microsoft objavila je da su te ranjivosti ispravljene unutar ažuriranja sigurnosti tvrtke Microsoft od 6. srpnja koje je dostupno putem ažuriranja sustava Windows ili preuzimanjem i instaliranjem KB5004945. Microsoft preporučuje da IT timovi odmah primijene ovo ažuriranje kako bi spriječili upade povezane s tim ranjivostima. Potpune informacije tvrtke Microsoft o ovom problemu potražite na web-mjestu https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Osim savjeta tvrtke Microsoft za instalaciju ažuriranja, preporučujemo i da zaštitite sustav potvrđivanjem da su sljedeće postavke registra postavljene na 0 (nula) ili nisu definirane (napomena: ti ključevi registra ne postoje prema zadanim postavkama i zato su već u sigurnoj postavci). Također trebate provjeriti jesu li postavke pravila grupe ispravne:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) ili nije definirano (zadana postavka)
UpdatePromptSettings = 0 (DWORD) ili nije definirano (zadana postavka)
Ako ključ registra „NoWarningNoElevationOnInstall” postavite na 1, smanjit ćete sigurnosni položaj sustava.
Preporučujemo da vaš IT tim i dalje prati web-mjesto za podršku tvrtke Microsoft kako bi osigurao primjenu svih primjenjivih zakrpa za operacijski sustav.
Nakon istrage utvrdili smo da ova ranjivost ne utječe na proizvode imageRUNNER, imageRUNNER ADVANCE ni i-SENSYS. Nastavljamo istragu u cijelom asortimanu proizvoda tvrtke Canon i ažurirat ćemo ovaj članak kako dodatne informacije postanu dostupne.
Savezni ured za sigurnost informacija (BSI) skrenuo je našu pozornost na izloženost implementacije mreže u microMIND-u brojnim iskorištavanjima. Ove ranjivosti otkrili su „Forescout Technologies”, istraživači Jos Wetzels, Stanislav Dashevskyi, Amine Amri i Daniel dos Santos.
microMIND upotrebljava uIP mrežni stog otvorenog koda, https://en.wikipedia.org/wiki/UIP_(micro_IP), koji tisuće tvrtki upotrebljavaju za mrežno omogućivanje softvera/hardvera. Istraživači su utvrdili da bi iskorištavanje tih ranjivosti moglo dovesti do DoS napada izvanmrežno ili izvođenjem Remote Code Execution (RCE) na samom microMIND-u. Kako bi se riješile te ranjivosti, NT-ware izdao je nove programske datoteke kojima se rješavaju svi prijavljeni problemi. U vrijeme pisanja ove sigurnosne obavijesti nema poznatih iskorištavanja usmjerenih na microMIND.
Naziv/poveznica iskorištavanja: AMNESIA:33, https://www.forescout.com/amnesia33/
CVE-ovi riješeni u ovim programskim datotekama su: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
CVE-ovi koji nisu povezani s microMIND implementacijom uIP stoga: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Zahvaćene programske datoteke uniFLOW microMIND: verzija 2.0.9 i starije ili isporučene prije listopada 2020.
Ublažavanje/radnja: ako imate zahvaćeni microMIND, obratite se predstavniku tvrtke Canon kako biste dogovorili nadogradnju programskih datoteka.
Tvrtka za kibernetičku sigurnost sa sjedištem u Izraelu, SCADAfence Ltd., skrenula je našu pozornost na ranjivost u vezi s protokolom za IP stog koji upotrebljavaju laserski pisači i mali uredski višefunkcijski pisači tvrtke Canon. Pojedinosti potražite u CVE-2020-16849.
Postoji mogućnost napada treće strane na uređaj kada je povezan s mrežom koja dopušta da se fragmenti „Adresara” ili/i „administratorske lozinke” pribave putem nezaštićene mreže. Imajte na umu da, kada se HTTPS upotrebljava za komunikaciju s udaljenim korisničkim sučeljem, podaci su osigurani šifriranjem.
Do danas nema potvrđenih slučajeva iskorištavanja ovih ranjivosti kako bi se uzrokovala šteta. Međutim, kako bismo svojim korisnicima osigurali sigurno korištenje naših proizvoda, dostupne su nove programske datoteke za sljedeće proizvode:
Serija i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
Serija i-SENSYS LBP
LBP113W
LBP151DW
LBP162DW
Serija imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
Pojedinosti o tome kako ažurirati programske datoteke potražite u korisničkom priručniku.
Preporučujemo da se za proizvode upotrebljavaju privatna IP adresa i kontrole mrežnih parametara kao što je vatrozid ili Wi-Fi usmjerivač koji može ograničiti pristup mreži. „Sigurnost proizvoda povezanih s mrežom” niže na ovoj stranici pruža dodatne smjernice.
Nakon istrage ranjivosti „Ripple20” nije utvrđen problem s pisačima tvrtke Canon.
Iako je lozinka za bežičnu funkciju tvrtke Canon u skladu s važećim WPA standardom, svjesni smo da sigurnost koju pružaju numeričke lozinke s osam znakova nije jednako jaka kao što je nekad bila. Imajući to na umu, preporučujemo da u okruženjima u kojima je bežična sigurnost problematična, poput javne lokacije, oprema tvrtke Canon uvijek bude povezana s infrastrukturnom implementacijom Wi-Fi mreže. Sigurnost shvaćamo ozbiljno – ažuriramo sigurnosne konfiguracije za Wi-Fi na svim našim proizvodima kako bismo vam pomogli da ostanete sigurni i svako će ažuriranje biti objavljeno na ovim stranicama. Tvrtka Canon želi zahvaliti tvrtki REDTEAM.PL na skretanje pozornosti na promjenu vrste zaštite lozinkom i njezin utjecaj na tržište.
Softverska platforma imageRUNNER ADVANCE, verzija 3.8 i novije, uvela je Syslog protokol (u skladu s RFC 5424, RFC 5425 i RFC 5426), funkciju razmjene poruka o događajima gotovo u stvarnom vremenu, čime se povećava vidljivost događaja povezanih s uređajima i sigurnošću uređaja. To se temelji na mogućnosti bilježenja uređaja i omogućuje povezivanje s postojećim upravljanjem događajima u vezi sa sigurnosnim informacijama (SIEM) ili Syslog poslužiteljem. Dokument „SIEM_SPEC” u nastavku sadrži pojedinosti vrsta poruka i podataka zapisnika koji se mogu generirati.
Jedanaest ranjivosti pod nazivom „URGENT/11” (CVE-2019-12255 do CVE-2019-12265) utvrđeno je unutar operacijskog sustava VxWorks. Pokazalo se da je IPnet TCP/IP stog koji se upotrebljava u operacijskom sustavu VxWorks također korišten u drugim operacijskim sustavima u stvarnom vremenu, čime se otvara mogućnost za ranjivosti (CVE-2019-12255, CVE-2019-12262 i CVE-2019-12264) u širem rasponu proizvoda.
Određeni broj starijih europskih modela može biti podložan tom problemu jer upotrebljavaju zahvaćeni IPnet TCP/IP stog:
i-SENSYS MF4270
i-SENSYS MF4370dn
i-SENSYS MF4380dn
imageRUNNER 2318
imageRUNNER 2318L
imageRUNNER 2320
imageRUNNER 2420
imageRUNNER 2422
Preporučujemo da pregledate sigurnosne kontrole svoje mreže i/ili nadogradite na najnoviji ekvivalentni uređaj tvrtke Canon. Dodatne informacije možete naći u Vodiču za ojačavanje višefunkcijskih uređaja tvrtke Canon (poveznica se nalazi na dnu ove stranice) i na našoj Canon globalnoj stranici.

Hvala što upotrebljavate proizvode tvrtke Canon.

Međunarodni tim istraživača sigurnosti skrenuo nam je pozornost na ranjivost povezanu s komunikacijama putem protokola Picture Transfer Protocol (PTP) koji upotrebljavaju digitalni fotoaparati tvrtke Canon, kao i na ranjivost koja se odnosi na ažuriranja programskih datoteka.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

Zbog tih ranjivosti, postoji mogućnost napada treće strane na fotoaparat ako je fotoaparat povezan s računalom ili mobilnim uređajem koji je napadnut putem nezaštićene mreže.

U ovom trenutku nema potvrđenih slučajeva iskorištavanja ovih ranjivosti kako bi se prouzročila šteta, ali kako bismo osigurali sigurno korištenje naših proizvoda, želimo vas obavijestiti o sljedećem rješenju za ovaj problem.

Provjerite primjerenost sigurnosnih postavki uređaja povezanih s fotoaparatom, kao što su računalo, mobilni uređaj i usmjerivač koji se upotrebljavaju.
Fotoaparat nemojte povezivati s računalom ili mobilnim uređajem koji se upotrebljava u nezaštićenoj mreži, primjerice u okruženju besplatne Wi-Fi veze.
Fotoaparat nemojte povezivati s računalom ili mobilnim uređajem koji je potencijalno izložen virusima.
Onemogućite mrežne funkcije fotoaparata kada se ne upotrebljavaju.
Preuzmite službene programske datoteke s web-mjesta tvrtke Canon prilikom ažuriranja programskih datoteka fotoaparata.

Računalo i mobilni uređaji sve se češće upotrebljavaju u nezaštićenom mrežnom okruženju (besplatni Wi-Fi) u kojem korisnici nisu svjesni mrežne sigurnosti. Budući da je najčešći prijenos slika s fotoaparata na mobilni uređaj putem Wi-Fi veze, implementirat ćemo ažuriranja programskih datoteka za sljedeće modele koji su opremljeni funkcijom Wi-Fi.

Te ranjivosti utječu na sljedeće digitalne SLR fotoaparate serije EOS i fotoaparate bez zrcala:


EOS-1DC^{1 2}	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX^{1 2}	EOS 7D Mark II^*1	EOS 800D	EOS M10
EOS-1DX MK II^{1 2}	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III^*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS^*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R^*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 Ako se upotrebljava Wi-Fi adapter ili bežični prijenosnik datoteka, može se uspostaviti Wi-Fi veza.

^*2 Ove ranjivosti utječu i na Ethernet veze.

Informacije o ažuriranju programskih datoteka dostavit će se za svaki proizvod, počevši od proizvoda za koje su dovršene pripreme.

Utvrdili smo sigurnosni problem koji postoji u određenim okolnostima upotrebe serije uniFLOW, a NT-Ware izdao je hitni ispravak za to. Preporučujemo da ovaj ispravak što prije pokrenete na sustavu.
Postoji mogućnost dobivanja neovlaštenog pristupa ako se „korisničko ime / lozinka” upotrebljavaju kao provjera autentičnosti ili ako se upotrebljava mehanizam za učenje kartica.

To utječe samo na određene verzije softvera kada se upotrebljava sa sljedećim metodama provjere autentičnosti:

• uniFLOW V5.1 SRx
• uniFLOW V5.2 SRx
• uniFLOW V5.3 SRx
• uniFLOW V5.4 SR10 (revidirani hitni ispravak) i noviji
• uniFLOW 2018 LTS SRx (revidirani hitni ispravak)
• uniFLOW 2018 v-izdanja (revidirani hitni ispravak)

Ako upotrebljavate uniFLOW V5.1 SRx, uniFLOW V5.2 SRx ili uniFLOW V5.3 SRx, obratite se ovlaštenom prodavaču ili predstavniku za podršku tvrtke Canon.

Upute za instalaciju hitnih ispravaka potražite ovdje

Predani smo pružanju sigurnih rješenja klijentima i ispričavamo se zbog bilo kakve neugodnosti koju je ova situacija prouzročila. Ako su vam potrebne dodatne informacije o ovom savjetu, obratite se lokalnom uredu tvrtke Canon, ovlaštenom prodavaču ili predstavniku za podršku tvrtke Canon. Ako primijetite bilo kakvu sumnjivu aktivnost, odmah je prijavite upravitelju računa i IT odjelu.
Nedavno su istraživači prijavili ranjivosti u komunikacijskim protokolima u funkcijama telefaksa određenih proizvoda. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Informacije o utjecaju ovih ranjivosti na proizvode tvrtke Canon koji imaju funkcije telefaksa potražite u nastavku.
Na temelju našeg pregleda, s obzirom na to da ne upotrebljavaju protokol Colour G3 Fax koji ove ranjivosti iskorištavaju, to ne utječe na sljedeće proizvode: imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP i imageCLASS/i-SENSYS opremljene funkcijama telefaksa.
Proizvodi serija MAXIFY i PIXMA koji imaju funkcije telefaksa upotrebljavaju protokol Colour G3 Fax. Međutim, nismo utvrdili nikakav rizik od zlonamjernog koda koji se izvodi putem kruga telefaksa ni rizik za sigurnost informacija spremljenih na tim uređajima.
Nastavit ćemo pratiti ovu situaciju i poduzet ćemo odgovarajuće mjere potrebne za osiguranje sigurnosti naših uređaja.
Ranjivosti su nedavno otkrivene u vezi s određenim procesorima tvrtke Intel, AMD i ARM koji upotrebljavaju spekulativno izvršenje kako bi se poboljšale njihove radne značajke. Te ranjivosti mogu omogućiti napadaču neovlašten pristup područjima privatne predmemorije.
Utvrđene su i imenovane dvije varijante ranjivosti koje upotrebljavaju različite tehnike za iskorištavanje spekulativnih funkcija izvršenja unutar zahvaćenih procesora. One su CVE-2017-5715, CVE-2017-5753: „Spectre” i CVE-2017-5754: „Meltdown”.
Ranjivosti mogu utjecati na sljedeće vanjske upravljače tvrtke Canon. Iako trenutačno ne postoji poznat način iskorištavanja tih ranjivosti, protumjere se pripremaju kako bi korisnici mogli nastaviti upotrebljavati naše proizvode bez brige.
ColorPASS:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1
imagePASS:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0
imagePRESS-CR Server:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1
imagePRESS Server:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0

Ranjivosti mogu utjecati na sljedeće usluge tvrtke Canon. Iako trenutačno ne postoji poznat način iskorištavanja tih ranjivosti, protumjere su uvedene do kraja veljače 2018.
MDS Cloud
Ove ranjivosti ne utječu na sve laserske višefunkcijske pisače i laserske pisače tvrtke Canon te povezane softverske proizvode, osim prethodno navedenih, nijednim od poznatih procesa iskorištavanja. Korisnici mogu nastaviti pouzdano upotrebljavati naše proizvode.
Tvrtka Canon neprestano radi na osiguravanju najviše razine sigurnosti u svim našim proizvodima i rješenjima. U tvrtki Canon sigurnost podataka svojih korisnika shvaćamo ozbiljno i njihova zaštita naš je najveći prioritet.
Istraživač je nedavno javno objavio ranjivost poznatu pod nazivom KRACKs u standardnom protokolu za šifriranje bežične LAN mreže (Wi-Fi) WPA2. Ova ranjivost napadaču omogućuje namjerno presretanje bežičnog prijenosa između klijenta (terminal opremljen funkcijom Wi-Fi) i pristupne točke (usmjerivač itd.) kako bi izvršio potencijalno zlonamjernu aktivnost. Zbog toga tu ranjivost ne može iskoristiti nitko izvan dometa Wi-Fi signala ni bilo tko na udaljenoj lokaciji tko upotrebljava internet kao posrednik.

Još nismo potvrdili da su korisnici proizvoda tvrtke Canon naišli na probleme zbog te ranjivosti, međutim, kako bismo korisnicima omogućili bezbrižnu upotrebu naših proizvoda, preporučujemo sljedeće preventivne mjere:
• Upotrebljavajte USB kabel ili Ethernet kabel za izravno povezivanje kompatibilnih uređaja s mrežom
• Šifrirajte prijenos podataka s uređaja koji omogućuju postavke šifriranja (TLS/IPSec)
• Upotrebljavajte fizičke medije kao što su SD kartice s kompatibilnim uređajima
• Upotrebljavajte postavke kao što su Wireless Direct i Direct Connect s kompatibilnim uređajima

Budući da se radni postupci i funkcije razlikuju od uređaja do uređaja, dodatne pojedinosti potražite u priručniku uređaja. Preporučujemo i da poduzmete odgovarajuće mjere za uređaje kao što su računalo ili pametni telefon. Informacije o odgovarajućim mjerama za svaki uređaj zatražite od proizvođača uređaja.

Bijele knjige

Upoznati smo vijestima o istraživanju koje je provelo Udruženje sveučilišta Ruhr, a koje se tiču potencijalne ranjivosti za umrežene pisače putem PostScript programskog jezika koji se uvelike upotrebljava u našoj industriji. Istraživanje nije provedeno na uređajima tvrtke Canon.

Tvrtka Canon neprestano radi na osiguravanju najviše razine sigurnosti u svim našim proizvodima i rješenjima, uključujući i umrežene pisače. U tvrtki Canon sigurnost podataka svojih klijenata shvaćamo ozbiljno i njihova zaštita naš je najveći prioritet. Naš Vodič za ojačavanje višefunkcijskih uređaja objašnjava i savjetuje najbolje postavke konfiguracije za sigurnu primjenu.

Informacije o sigurnosnim mjerama za određene proizvode tvrtke Canon i postupke njihova postavljanja navedene su u nastavku. Imajte na umu da su informacije dostupne samo na engleskom.



Tintni pisači (serija PIXMA) i poslovni tintni pisači (serija MAXIFY)	Tintni pisač za velike formate (serija imagePROGRAF)	Laserski pisači i mali uredski višefunkcijski uređaji (serije LBP i MF)	Višefunkcijski uređaji za ured i produkcijski ispis (serije imageRUNNER, imageRUNNER ADVANCE, imagePRESS)

Mrežne kamere	Vodič za ojačavanje višenamjenskih uređaja	Mrežni skeneri (serija imageFORMULA)	Sigurnosna matrica za uređaj imageRUNNER tvrtke Canon

Pregled sigurnosti uređaja tvrtke Canon	Bijela knjiga o sigurnosti uređaja imageRUNNER ADVANCE i imageRUNNER ADVANCE DX	SIEM_spec (imageRUNNER ADVANCE)	Bijela knjiga o sigurnosti serija ColorWave i PlotWave SMARTshield

Certifikacija

Tvrtka Canon stavlja najveći naglasak na sigurnost informacija kojom se štiti povjerljivost, cjelovitost i dostupnost pisanih, izgovorenih i elektroničkih informacija kako bi u svakom trenutku bila zajamčena:

povjerljivost – osiguravanje dostupnosti informacija samo onima kojima je pristup ovlašten,
cjelovitost – zaštita točnosti i potpunosti informacija i metoda obrade,
dostupnost – osiguravanje da ovlašteni korisnici imaju pristup informacijama kada je to potrebno.

Certifikat ISO 27001 pokazuje da tvrtka Canon Europe raspolaže sustavima za zaštitu poslovnih informacija i podataka, bez obzira na to jesu li te informacije na mreži ili izvan nje. Certifikatom ISO 27001 tvrtka Canon Europe može potvrditi da su sigurnosni postupci od razvoja do isporuke procijenjeni eksterno i da ih je treća strana certificirala u skladu s međunarodno priznatim standardom.


	Tvrtka Canon Europe dobila je certifikat ISO 27001 za svoj sustav upravljanja zaštitom informacija, što kupcima dokazuje da poštujemo standarde svjetske klase. Pokriva sve aspekte sigurnosti informacija, od upravljanja rizicima i revizijama do sigurnosti proizvoda i upravljanja incidentima.

Naš sustav za upravljanje sigurnošću informacija (ISMS) pokriva sljedeća područja:

sigurnosna pravila,
organizaciju sigurnosti informacija,
upravljanje imovinom,
sigurnost ljudskih resursa,
materijalnu i ekološku sigurnost,
upravljanje komunikacijom i operacijama,
kontrolu pristupa,
nabavu, razvoj i održavanje informacijskih sustava,
upravljanje incidentima u području sigurnosti informacija,
upravljanje kontinuitetom poslovanja,
usklađenost s propisima.

Certifikat ISO 27001

Otkrivanje ranjivosti proizvoda

Canon EMEA PSIRT (tim za rješavanje sigurnosnih incidenata povezanih s proizvodima) dio je globalne organizacije Canon PSIRT i odgovoran je za rješavanje ranjivosti povezanih s proizvodima, sustavima i uslugama tvrtke Canon EMEA. Pratimo najbolje prakse u industriji kako bismo poboljšali razine sigurnosti proizvoda i svojim klijentima osigurali izuzetno sigurne proizvode.

Canon EMEA PSIRT pozdravlja informacije povezane sa svakom sumnjom na ranjivost proizvoda te ćemo se pobrinuti za informacije u skladu s našim Pravilima o otkrivanju ranjivosti.

Prijava ranjivosti proizvoda

Ako znate da postoji problem sa sigurnosti povezan s proizvodom, sustavom ili uslugom tvrtke Canon, željeli bismo kontaktirati s vama.

Ako smatrate da ste otkrili sigurnosni problem s proizvodom tvrtke Canon ili želite prijaviti sigurnosni incident, možete se obratiti timu za rješavanje sigurnosnih incidenata povezanih s proizvodima tvrtke Canon za regiju EMEA na adresu e-pošte product-security@canon-europe.com ili putem obrasca za prijavu ranjivosti proizvoda. Navedite detaljan sažetak sigurnosnog problema, točan naziv proizvoda, verziju softvera i vrstu problema. Unesite i adresu e-pošte i telefonski broj kako bismo vas mogli kontaktirati ako nam bude potrebno više informacija.
Imajte na umu da ova adresa e-pošte i obrazac služe samo za prijavu ranjivosti u sigurnosti proizvoda, a ne za općenite probleme s podrškom. Na našim stranicama za podršku potražite pomoć za ostale probleme s proizvodima.

Pravila o otkrivanju sigurnosti IT sustava

Tvrtka Canon ozbiljno shvaća sigurnost svojih IT sustava i cijeni zajednicu sigurnosti. Otkrivanje slabosti u sigurnosti pomaže nam da osiguramo sigurnost i privatnost svojih korisnika djelovanjem kao pouzdani partner. U ovim pravilima objašnjavaju se zahtjevi i mehanizam povezan s otkrivanjem ranjivosti IT sustava za regiju EMEA tvrtke Canon, čime se istraživačima omogućuje prijavljivanje ranjivosti u sigurnosti na siguran i etičan način timu za sigurnost informacija za regiju EMEA tvrtke Canon.

Ova se pravila odnose na sve, uključujući interne sudionike u tvrtki Canon i vanjske sudionike.

Tim za sigurnost informacija u regiji EMEA tvrtke Canon predan je zaštiti kupaca i zaposlenika tvrtke Canon. U okviru te obveze pozivamo istraživače za sigurnost da pomognu tvrtki Canon proaktivnim prijavljivanjem ranjivosti i slabosti u sigurnosti. Pojedinosti o svojim nalazima možete prijaviti na: appsec@canon-europe.com

Obuhvaćene domene

Ovo je popis domena koje su uključene u Pravila za otkrivanje ranjivosti tvrtke Canon.


*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Slabosti nam možete prijaviti e-poštom: appsec@canon-europe.com. U svojoj e-pošti što jasnije i detaljnije opišite koje ste slabosti otkrili te navedite sve dokaze koje imate, imajući na umu da će poruku pregledati stručnjaci za sigurnost tvrtke Canon. U e-poštu naročito treba uključiti sljedeće:

vrstu ranjivosti,

detaljne upute o tome kako reproducirati ranjivost,

pristup koji ste primijenili,

cijeli URL,

moguće uključene objekte (kao filtre ili polja za unos).

Dobro će nam doći i snimke zaslona.

Navedite svoju IP adresu u prijavi slabosti. Ona će ostati privatna radi praćenja vaših aktivnosti testiranja i pregledavanja zapisnika s naše strane

Nećemo prihvatiti rezultate automatiziranih skenera softvera.

Što nećemo prihvatiti:

Volumetrijske ranjivosti / ranjivosti povezane s odbijanjem pružanja usluge (tj. zatrpavanje naše službe velikom količinom zahtjeva)

Slabosti u konfiguraciji TLS-a (npr. „slaba” podrška za sljedove šifri, podrška za TLS1.0, sweet32 itd.)

Problemi provjere adresa e-pošte koje se upotrebljavaju za izradu korisničkih računa povezanih s myid.canon

Samostalno skriptiranje na više stranica

Skripte miješanog sadržaja na www.canon.*

Nesigurni kolačići na www.canon.*

CSRF i CRLF napadi u kojima je učinak minimalan

Skriptiranje na više stranica HTTP zaglavlja glavnog računala bez funkcionalnog dokaza koncepta

Nepotpun/nedostajući SPF/DMARC/DKIM

Napadi društvenog inženjeringa

Sigurnosne pogreške na web-mjestima trećih strana koje se integriraju s tvrtkom Canon

Tehnike nabrajanja mrežnih podataka (npr. dohvaćanje osnovnih podataka, postojanje javno dostupnih dijagnostičkih stranica poslužitelja)

Prijave koje ukazuju na to da naše usluge nisu u potpunosti usklađene s „najboljom praksom”
Stručnjaci za sigurnost informacija tvrtke Canon istražit će vašu prijavu i kontaktirati vas u roku od 5 radnih dana.

Vaša privatnost

Vaše osobne podatke upotrebljavat ćemo isključivo za poduzimanje radnji na temelju vaše prijave. Vaše osobne podatke nećemo dijeliti s drugima bez vašeg izričitog dopuštenja.
Potencijalno nezakonite radnje
Ako otkrijete slabost i istražujete je, možda obavljate radnje koje su zakonski kažnjive. Ako slijedite pravila i načela u nastavku kako biste prijavili slabosti u našim IT sustavima, nećemo prijaviti vaše kršenje nadležnim tijelima i nećemo podnijeti zahtjev.

Međutim, važno je da znate da ured javnog tužitelja, a ne tvrtka CANON, može odlučiti hoćete li biti kazneno gonjeni, čak i ako nismo prijavili vaš prekršaj vlastima. To znači da ne možemo jamčiti da vas neće kazneno goniti ako učinite kazneno djelo kada istražujete slabost.

Nacionalni centar za kibernetičku sigurnost Ministarstva sigurnosti i pravosuđa izradio je smjernice za prijavljivanje slabosti u IT sustavima. Naša pravila temelje se na tim smjernicama. (https://english.ncsc.nl/)

Opća načela
Preuzmite odgovornost te budite iznimno pažljivi i oprezni. Pri istraživanju problema upotrebljavajte samo metode ili tehnike koje su nužne za pronalaženje ili demonstriranje slabosti.

Slabosti koje otkrijete nemojte upotrebljavati u druge svrhe osim za vlastitu istragu.

Za pristup sustavu nemojte upotrebljavati društveni inženjering.

Nemojte postavljati zaobilazan pristup – čak ni kako biste dokazali ranjivost sustava. Zaobilazan pristup oslabit će sigurnost sustava.

Nemojte mijenjati niti brisati nikakve informacije u sustavu. Ako trebate kopirati informacije za svoju istragu, nikada nemojte kopirati više nego što vam je potrebno. Ako je jedan zapis dovoljan, nemojte ići dalje.

Ni na koji način nemojte mijenjati sustav.

Infiltrirajte se u sustav samo ako je to neophodno. Ako se uspijete infiltrirati u sustav, nemojte dijeliti pristup s drugima.

Ne upotrebljavajte nasilne tehnike, poput višestrukih unosa lozinki, za pristup sustavima.

Za pristup nemojte upotrebljavati vrstu napada koja uključuje odbijanje pružanja usluge (denial of service, DoS)
Hoću li dobiti nagradu za svoju istragu?

Ne, nemate pravo ni na kakvu naknadu.

Smijem li objaviti slabosti koje nađem, kao i svoju istragu?

Nikad ne objavljujte slabosti u IT sustavima tvrtke Canon ni svoju istragu bez prethodnog savjetovanja s nama putem e-pošte: appsec@canon-europe.com. Možemo surađivati kako bismo spriječili kriminalce da zloupotrebljavaju vaše informacije. Savjetujte se s našim timom za sigurnost informacija i moći ćemo surađivati na objavljivanju.

Mogu li anonimno prijaviti slabost?

Da, možete. Ne morate navoditi svoje ime ni podatke za kontakt kad prijavljujete slabost. Međutim, imajte na umu da se s vama nećemo moći posavjetovati o daljnjim mjerama, npr. o tome što činimo s vašom prijavom ili o daljnjoj suradnji.

Za što ne bih trebao/la upotrebljavati ovu adresu e-pošte?

Adresa e-pošte appsec@canon-europe.com nije namijenjena sljedećem:

podnošenju pritužbi na proizvode ili usluge tvrtke Canon,

slanju pitanja ili pritužbi o dostupnosti web-mjesta tvrtke Canon,

prijavljivanju prijevare ili sumnje na prijevaru,

prijavljivanju lažnih poruka e-pošte ili poruka e-pošte za krađu identiteta,

prijavljivanju virusa.

Vijesti

CPE2026-004 – Vulnerability Remediation for My Image Garden for macOS and CUPS Printer Driver for macOS – 28 May 2026

CPE2026-003 – ublažavanje/ispravljanje ranjivosti za produkcijske pisače i uredske višefunkcijske pisače – 23. travnja 2026.

CPE2026-051 – ispravljanje OpenSSL ranjivosti koja utječe na IRIS XMailFetcher – 23. ožujka 2026.

CPE2026-002 – ispravljanje ranjivosti za IJ Scan Utility za Windows – 26. veljače 2026.

CPE2026-001 – Ublažavanje/ispravljanje ranjivosti za male uredske višefunkcijske pisače i laserske pisače – 15. siječnja 2026. (ažurirano 06. ožujak 2026.)

CPE2025-052 – ublažavanje/ispravljanje ranjivosti za Therefore™ Online i Therefore™ On-Premises – 31. listopada 2025.

CPE2025-005 – Ispravljanje ranjivosti za određene upravljačke programe pisača za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače – 25. rujna 2025. (ažurirano: 13. ožujka 2026.)

CPE2025-051 – Ublažavanje/ispravljanje ranjivosti za Canon EOS Webcam Utility Pro za MAC OS – 26. lipnja 2025.

CPE2025-004 – Ublažavanje/ispravljanje ranjivosti za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače – 19. svibnja 2025. (ažurirano: 3. lipnja 2025.)

CPE2025-003 – Ispravljanje ranjivosti za određene upravljačke programe pisača za produkcijske pisače, uredske / male uredske višefunkcijske pisače i laserske pisače – 28. ožujka 2025. (ažurirano: 13. ožujka 2026.)

CPE2025-002 – Ublažavanje ranjivosti za određene upravljačke programe pisača za uredske / male uredske višefunkcijske pisače i laserske pisače – 24. veljače 2025.

CPE2025-001 – Ublažavanje/ispravljanje za male uredske višefunkcijske pisače i laserske pisače – 27. siječnja 2025. (ažurirano 20. veljače 2026.)

CPE2024-004 – Više čitača kartica MiCard PLUS ispustilo je znakove – 16. rujna 2024.

CPE2024-003 – uniFLOW Online registracija uređaja podložna je ugrozi – 10. lipnja 2024. (ažurirano: 2. rujna 2024.)

CPE2024-002 – Ublažavanje/ispravljanje ranjivosti za male uredske višefunkcijske pisače i laserske pisače – 14. ožujka 2024.

CPE2024-001 – O ranjivostima za male uredske višefunkcijske pisače i laserske pisače – 5. veljače 2024. (ažurirano 21. veljače 2025.)

CPE2023-003 – ublažavanje/ispravljanje ranjivosti za titne pisače (kućni i uredski / veliki format) – 15. kolovoza 2023.

CPE2023-002 – ranjivosti programa IJ Network Tool u pogledu postavljanja Wi-Fi veze – 18. svibnja 2023.

CPE2023-001 – O ranjivostima za uredske / male uredske višefunkcijske pisače, laserske pisače i tintne pisače – 14. travnja 2023. (ažurirano: 30. rujna 2023.)

Potencijalna ranjivost izlaganja podataka tehničke podrške uniFLOW MOM – 20. siječnja 2023.

O mjeri za ranjivost protiv preopterećenja međuspremnika za laserske pisače i male uredske višefunkcijske pisače (CVE-2022-43608) – 25. studenog 2022. (ažurirano: 30. kolovoza 2023.)

O mjeri za ranjivost protiv preopterećenja međuspremnika za laserske pisače i male uredske višefunkcijske pisače – 9. kolovoza 2022.

Ranjivost Spring4Shell (CVE-2022-22965, CVE-2022-22947, CVE-2022-22950, CVE-2022-22963) – 28. travnja 2022.

Ranjivost generiranja RSA ključa za poslovne / male uredske višefunkcijske pisače, laserske pisače i tintne pisače – 4. travnja 2022.

Ranjivosti „Log4j” RCE [CVE-2021-44228], „Log4j” RCE [CVE-2021-45046] i „Log4j” DOS [CVE-2021-45105] – 12. siječnja 2022.

Ranjivost koja uključuje skriptiranje na više lokacija za laserske pisače i višefunkcijske uređaje za male urede – 11. siječnja 2022.

Ranjivost daljinskog izvršavanja koda usmjerivača ispisa na sustavu Windows – 16. studenog 2021.

„AMNESIA:33”: ranjivosti ugrađenih TCP/IP stogova – 10. prosinca 2020.

Ranjivost softvera uniFLOW MicroMIND – 8. prosinca 2020.

Ranjivosti laserskih i malih uredskih višefunkcijskih pisača tvrtke povezane s IP stogom – 1. listopada 2020.

„Ripple20”: višestruke ranjivosti utvrđene u TCP/IP stogu – 30. rujna 2020.

Sigurnost osigurana numeričkim lozinkama s osam znakova – 6. ožujka 2020.

Događaji Syslog i Log uređaja imageRUNNER ADVANCE – 20. veljače 2020.

Ranjivost operacijskog sustava VxWork – 3. listopada 2019.

Savjete za sigurnost digitalnih fotoaparata tvrtke Canon u vezi s funkcijama PTP (Picture Transfer Protocol) komunikacije i funkcijama ažuriranja programskih datoteka – 6. kolovoza 2019.

Problem provjere autentičnosti serije uniFLOW – 19. ožujka 2019.

Ranjivost telefaksa – 31. kolovoza 2018.

Ranjivost procesora Spectre i Meltdown – 8. ožujka 2018.

Ranjivost u WPA2 protokolu za Wi-Fi šifriranje – 16. siječnja 2018.

Bijele knjige

Sigurnosne mjere za određene proizvode tvrtke Canon

Certifikacija

ISO 27001 – Sigurnost informacija

Otkrivanje ranjivosti proizvoda

Otkrivanje ranjivosti proizvoda

Prijava ranjivosti proizvoda

Kako nas možete kontaktirati

Upiti za podršku koja nije povezana sa sigurnošću

Pravila o otkrivanju sigurnosti IT sustava

Opseg

Prijavljivanje ranjivosti

Što činimo s vašom prijavom

Pravila

Česta pitanja