Haavoittuvuus Xerox WorkCentre -tuotteissa

Xerox WorkCentre -monitoimilaitteista on löytynyt palvelunestohyökkäyksen mahdollistava haavoittuvuus. Haavoittuvuus johtuu muistivuodosta, joka liittyy laitteiden tapaan käsitellä ylipitkiä jonojen nimiä sisältäviä LPD-pyyntöjä samanaikaisesti muiden käyttäjän tai hyökkääjän lähettämien pyyntöjen kanssa. Haavoittuvuutta hyväksikäyttääkseen hyökkääjällä on oltava pääsy haavoittuvan laitteen LPD-palveluun.

CERT-FI on koordinoinut haavoittuvuuden julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Louhi Networksin Henri Lindbergiä ja Juho Rantaa haavoittuvuuden raportoinnista, ja Xeroxia yhteistyöstä haavoittuvuuden korjaamisessa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:


  • Xerox WorkCentre 7132
  • Xerox WorkCentre 7232 ja 7242
  • Xerox WorkCentre 7328, 7335, 7345 ja 7346
  • Xerox WorkCentre 7425, 7428 ja 7435

Ratkaisu- ja rajoitusmahdollisuudet:

Raportoidut haavoittuvuudet on korjattu seuraavien mallien uusimmissa ohjelmistoversioissa:

  • Xerox WorkCentre 7232 ja 7242
  • http://www.support.xerox.com/go/results.asp?Xtype=download&prodID=WC7232_WC7242&Xlang=en_US&Xcntry=USA

  • Xerox WorkCentre 7328, 7335, 7345 ja 7346
  • http://www.support.xerox.com/go/results.asp?Xtype=download&prodID=WC7328_WC7335_WC7345&Xlang=en_US&Xcntry=USA (korjattu versio ei vielä saatavilla)

  • Xerox WorkCentre 7425, 7428 ja 7435
  • http://www.support.xerox.com/go/results.asp?Xtype=download&prodID=WC7425_WC7428_WC7435&Xlang=en_US&Xcntry=USA (korjattu versio ei vielä saatavilla)
Haavoittuvuutta voi myös rajoittaa estämällä pääsy LPD-palveluun muualta kuin luotetuista verkoista.

Lisätietoa:

Päivityshistoria


Asiasanat: Tietoturva, Haavoittuvuudet


Google+ Print