Tuotteiden tietoturva

Joissain NT-waren (alun perin rf-IDEAS:n kehittämissä) kortinlukijoissa on havaittu mahdollisia ongelmia henkilökorttien lukemisessa. Julkaistu: CVE-2024-1578.

Vaikka emme ole saaneet ilmoituksia haavoittuvuuden hyväksikäytöstä, suosittelemme tutustumaan tietoturvatiedotteeseen.

Lisätietoja haavoittuvuudesta ja siihen liittyvistä korjaustoimista on täällä:

Tietoturvatiedote: Usea MiCard PLUS -kortinlukija pudotti pois osan merkeistä

uniFLOW Online -ratkaisun laiterekisteröinnissä on havaittu mahdollinen tietoturvariski, ja se on julkaistu (CVE-2024-1621).

Vaikka emme ole saaneet ilmoituksia haavoittuvuuden hyväksikäytöstä, suosittelemme tutustumaan tietoturvatiedotteeseen.

Lisätietoja haavoittuvuudesta ja siihen liittyvistä korjaustoimista on täällä:

Tietoturvatiedote: Laiterekisteröinnissä on havaittu mahdollinen tietoturvariski

WSD-protokollaprosessissa havaittiin puskurin ylivuotohaavoittuvuus tietyissä pienten toimistojen monitoimitulostimissa ja lasertulostimissa.

Lisätietoja haavoittuvuudesta ja siihen liittyvistä korjaustoimista on täällä:

CP2024-002 – pienten toimistojen monitoimitulostinten ja lasertulostinten haavoittuvuuksien vähentäminen/korjaaminen - Canon PSIRT

Tietyissä pienten yritysten käyttöön suunnitelluissa monitoimitulostimissa, lasertulostimissa ja mustesuihkutulostimissa on tunnistettu useita haavoittuvuuksia.

Nämä haavoittuvuudet saattavat aiheuttaa tilanteen, jossa todentamaton etähyökkääjä voi ehkä suorittaa satunnaisen koodin ilman reititintä Internetiin yhdistetyssä laitteessa (kiinteässä tai Wi-Fi-verkossa). Haavoittuvuudet voivat myös altistaa tuotteen palvelunestohyökkäyksille Internetin kautta.

<Puskurin ylivuoto>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Emme ole saaneet ilmoituksia näiden haavoittuvuuksien hyödyntämisestä. Suosittelemme kuitenkin, että asiakkaat asentavat tuotteen turvallisuuden parantamiseksi uusimman laiteohjelmiston, joka on saatavilla alla oleviin malleihin, joita ongelma koskee. Suosittelemme lisäksi, että asiakkaamme määrittävät tuotteille yksityisen IP-osoitteen ja luovat verkkoympäristö, jonka käyttöä rajoittaa palomuuri tai kiinteän/Wi-Fi-verkon reititin.

Lisätietoja tuotteiden suojaamisesta verkkoon liitettynä on tuotteen suojaustietosivulla.

Jatkamme työskentelyä turvatoimenpiteiden vahvistamiseksi, jotta voit jatkaa Canon-tuotteiden käyttöä rauhallisin mielin. Jos muissa tuotteissa havaitaan haavoittuvuuksia, päivitämme tämän artikkelin.

Tarkista mallit, joita ongelma koskee.

Lisätietoja laiteohjelmistosta, ohjelmistoista ja tuotetuesta on tukipalvelumme sivuilla.

Canon haluaa kiittää seuraavia henkilöitä näiden haavoittuvuuksien tunnistamisesta.

• CVE-2023-6229: Nguyen Quoc (Viet), joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-6230: Anonyymi, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-6231: Team Viettel, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-6232: ANHTUD, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-6233: ANHTUD, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-6234: Team Viettel, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2024-0244: Connor Ford (@ByteInsight), joka osallistuu Trend Micron Zero Day Initiativeen

Lisätietoja haavoittuvuudesta ja siihen liittyvistä korjaustoimista on täällä:

CP2023-003 – mustesuihkutulostimien haavoittuvuuden lieventäminen/korjaaminen (koti-, toimisto- ja suurkuvatulostimet) – Canon PSIRT

Kuvaus

IJ Network Tool -ohjelmassa (jäljempänä ohjelmisto) on havaittu kaksi haavoittuvuutta. Nämä haavoittuvuudet viittaavat siihen mahdollisuuteen, että tulostimen kanssa samaan verkkoon liitetty hyökkääjä voi saada luottamuksellisia tietoja tulostimen Wi-Fi-yhteyden asetuksista käyttämällä Ohjelmistoa tai siihen liittyvää tietoliikennettä.

CVE/CVSS

CVE-2023-1763: Arkaluontoisten tietojen kerääminen tulostimen Wi-Fi-yhteyden asetuksista ohjelmistolla. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Peruspisteet: 6,5

CVE-2023-1764: Arkaluontoisten tietojen kerääminen tulostimen Wi-Fi-yhteyden asetuksista ohjelmiston tietoliikenteen avulla. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Peruspisteet: 6,5

Tuotteet, joita ongelma koskee:

Haavoittuvuus CVE-2023-1763 koskee seuraavia tuotemalleja: 

Mac-verkkotyökalu: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Langaton tulostuspalvelin WP-20

Windows-verkkotyökalu: 

Ei sovellu

Haavoittuvuus CVE-2023-1764 koskee seuraavia tuotemalleja: 

Mac-verkkotyökalu: 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Langaton tulostuspalvelin WP-20

Windows-verkkotyökalu: 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG~6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Langaton tulostuspalvelin WP-20

Versiot, joita ongelma koskee

Haavoittuvuus CVE-2023-1763 koskee seuraavia tuotemalleja: 

Mac-verkkotyökalu: 

Versio 4.7.5 tai vanhempi (tuetut käyttöjärjestelmät: OS X 10.9.5-macOS 13) 

Versio 4.7.3 ja vanhempi (tuetut käyttöjärjestelmät: OS X 10.7.5-OS X 10.8)

Windows-verkkotyökalu: 

Ei sovellu

Haavoittuvuus CVE-2023-1764 koskee seuraavia tuotemalleja: 

Mac-verkkotyökalu: 

Versio 4.7.5 tai vanhempi (tuetut käyttöjärjestelmät: OS X 10.9.5-macOS 13) 

Versio 4.7.3 ja vanhempi (tuetut käyttöjärjestelmät: OS X 10.7.5-OS X 10.8)

Windows-verkkotyökalu: 

Versio 3.7.0

Lieventäminen/korjaaminen

CVE-2023-1763: 

Tämän haavoittuvuuden voi kiertää käyttämällä tulostimia, joissa on luotettava verkkoyhteys. Lisätietoja on täällä kohdassa Security for Product Connecting to a Network (Verkkoon yhdistetyn tuotteen suojaus). 

Lataa lisäksi Mac-verkkotyökalun julkaistut päivitetyt ohjelmistoversiot. 

Ohjeet MAXIFY- ja PIXMA-mustesuihkutulostimien ohjelmiston päivittämisestä versioon 4.7.6 (tuettu käyttöjärjestelmä: OS X 10.9.5–macOS 13) tai versioon 4.7.4 (tuettu käyttöjärjestelmä: OS X 10.7.5–OS X 10.8) ovat ohjelmiston lataussivulla kohdassa Consumer Product Support. Valitse sivulla ensin tuotemalli. Siirry Sofware-välilehteen ja valitse ”IJ Network Tool” tai ”Wi-Fi Connection Assistant”.

CVE-2023-1764: 

Tämän haavoittuvuuden voi kiertää käyttämällä tulostimia, joissa on luotettava verkkoyhteys. Lisätietoja on täällä kohdassa Security for Product Connecting to a Network (Verkkoon yhdistetyn tuotteen suojaus).

Kiitokset

Canon kiittää National Cyber Security Centeriä Alankomaista näiden haavoittuvuuksien ilmoittamisesta.

Tietyissä toimistokäyttöön suunnitelluissa monitoimitulostimissa, lasertulostimissa ja mustesuihkutulostimissa on tunnistettu useita haavoittuvuuksia.

Nämä haavoittuvuudet saattavat aiheuttaa tilanteen, jossa todentamaton etähyökkääjä voi ehkä suorittaa satunnaisen koodin ilman reititintä Internetiin yhdistetyssä laitteessa (kiinteässä tai Wi-Fi-verkossa). Haavoittuvuudet voivat myös altistaa tuotteen palvelunestohyökkäyksille Internetin kautta. Hyökkääjä voi myös pystyä asentamaan tuotteeseen haluamiaan tiedostoja RemoteUI:n virheellisen todennuksen vuoksi.

<Puskurin ylivuoto>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<Ohjausprotokollan ongelmat järjestelmänvalvojien alustavan rekisteröinnin yhteydessä>
CVE-2023-0857

<RemoteUI:n virheellinen todennus>
CVE-2023-0858

<Haitallisten tiedostojen asentaminen>
CVE-2023-0859

Emme ole saaneet ilmoituksia näiden haavoittuvuuksien hyödyntämisestä. Suosittelemme kuitenkin, että asiakkaat asentavat tuotteen turvallisuuden parantamiseksi uusimman laiteohjelmiston, joka on saatavilla alla oleviin malleihin, joita ongelma koskee. Suosittelemme lisäksi, että asiakkaamme määrittävät tuotteille yksityisen IP-osoitteen ja luovat verkkoympäristö, jonka käyttöä rajoittaa palomuuri tai kiinteän/Wi-Fi-verkon reititin.

Lisätietoja tuotteiden suojaamisesta verkkoon liitettynä on tuotteen suojaustietosivulla.

Jatkamme työskentelyä turvatoimenpiteiden vahvistamiseksi, jotta voit jatkaa Canon-tuotteiden käyttöä rauhallisin mielin. Jos muissa tuotteissa havaitaan haavoittuvuuksia, päivitämme tämän artikkelin.

Tarkista mallit, joita ongelma koskee.

Lisätietoja laiteohjelmistosta, ohjelmistoista ja tuotetuesta on tukipalvelumme sivuilla.

MAXIFY-, PIXMA- ja imagePROGRAF-mustesuihkutulostimien laiteohjelmiston päivitysohjeet ovat online-oppaassa.

Canon haluaa kiittää seuraavia henkilöitä näiden haavoittuvuuksien tunnistamisesta.

• CVE-2023-0851: Namnp, Le Tran Hai Tung, ANHTUD, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0852: R-SEC, Nettitude, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0853: DEVCORE, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0854: DEVCORE, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0855: Chi Tran, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0856: Team Viettel, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2023-0857: Alex Rubin ja Martin Rakhmanov
• CVE-2023-0858: Alex Rubin ja Martin Rakhmanov
• CVE-2023-0859: Alex Rubin ja Martin Rakhmanov

uniFLOW Server- ja uniFLOW Remote Print Server -ohjelmistoissa on havaittu mahdollinen tietoturvahaavoittuvuus.

Vaikka emme ole saaneet ilmoituksia haavoittuvuuden hyväksikäytöstä, suosittelemme ottamaan käyttöön ohjelmiston uusimman version.

Lisätietoja haavoittuvuudesta ja siihen liittyvistä korjaustoimista on täällä:

Security Advisory: MOM Tech Support Vulnerability - NT-ware Support

Canonin pieniin toimistoihin tarkoitetuissa lasertulostimissa ja monitoimilaitteissa on havaittu puskurin ylivuotoon liittyvä haavoittuvuus.

Vaikka emme ole saaneet ilmoituksia haavoittuvuuden hyväksikäytöstä, suosittelemme päivittämään laiteohjelmiston uusimpaan versioon.

Laite voi altistua tälle haavoittuvuudelle, kun se on liitetty suoraan Internetiin ilman kiinteän verkon tai Wi-Fi-verkon reititintä, jolloin hyökkääjä voi suorittaa sattumanvaraisen ohjelmistokoodin tai tuotteeseen voi kohdistua palvelunestohyökkäys (DOS).

Emme suosittele laitteiden yhdistämistä suoraan Internetiin. Käytä yksityistä IP-osoitetta suojatussa yksityisessä verkossa, joka on määritetty palomuurin tai kiinteän verkon tai Wi-Fi-yhteyden reitittimen kautta. Lisätietoja verkkoyhteyden suojausmenetelmistä on osoitteessa www.canon-europe.com/support/product-security/.

Jatkamme työskentelyä turvatoimenpiteiden vahvistamiseksi, jotta voit jatkaa Canon-tuotteiden käyttöä rauhallisin mielin. Jos muissa tuotteissa havaitaan haavoittuvuuksia, päivitämme tämän artikkelin.

Tarkista mallit, joita ongelma koskee.

Lisätietoja laiteohjelmistosta, ohjelmistoista ja tuotetuesta on Tukipalvelumme sivuilla.

Canon haluaa kiittää seuraavia henkilöitä haavoittuvuuden tunnistamisesta.

• CVE-2022-43608: Angelboy (@scwuaptx) DEVCOREn tutkimustiimistä, joka osallistuu Trend Micron Zero Day Initiativeen

Canonin pieniin toimistoihin tarkoitetuissa lasertulostimissa ja monitoimilaitteissa on havaittu puskurin ylivuotoon liittyvä haavoittuvuus. CVE-2022-24672, CVE-2022-24673 ja CVE-2022-24674. Alla on luettelo malleista, joita ongelma koskee.

Vaikka emme ole saaneet ilmoituksia haavoittuvuuden hyväksikäytöstä, suosittelemme päivittämään laiteohjelmiston uusimpaan versioon.

Laite voi altistua tälle haavoittuvuudelle, kun se on liitetty suoraan Internetiin ilman kiinteän verkon tai Wi-Fi-verkon reititintä, jolloin hyökkääjä voi suorittaa sattumanvaraisen ohjelmistokoodin tai tuotteeseen voi kohdistua palvelunestohyökkäys (DOS).

Emme suosittele laitteiden yhdistämistä suoraan Internetiin. Käytä yksityistä IP-osoitetta suojatussa yksityisessä verkossa, joka on määritetty palomuurin tai kiinteän verkon tai Wi-Fi-yhteyden reitittimen kautta. Lisätietoja verkkoyhteyden suojausmenetelmistä on osoitteessa www.canon-europe.com/support/product-security/.

Jatkamme työskentelyä turvatoimenpiteiden vahvistamiseksi, jotta voit jatkaa Canon-tuotteiden käyttöä rauhallisin mielin. Jos muissa tuotteissa havaitaan haavoittuvuuksia, päivitämme tämän artikkelin välittömästi.

Lasertulostimet ja monitoimilaitteet, joissa tarvitaan korjaustoimenpiteitä:

ImageRUNNER 1133, 1133A, 1133if3
ImageRUNNER 1435, 1435i, 1435if, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
ImageRUNNER C1325if, C1335if, C1335IFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214DW, LBP215x
i-SENSYS LBP223DW, LBP226DW, LBP228x
i-SENSYS LBP233DW, LBP236DW
i-SENSYS LBP251DW, LBP252DW, LBP253x
i-SENSYS LBP611CN, LBP613CDW
i-SENSYS LBP621CW, LBP623CDW
i-SENSYS LBP631CW ja LBP633CDW
i-SENSYS LBP653CDW, LBP654x
i-SENSYS LBP663CDW ja LBP644CX
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443DW MF445DW, MF446x, MF449x
i-SENSYS MF453DW, MF455DW
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552DW, MF553DW
i-SENSYS MF6140dn ja MF6180DW
i-SENSYS MF623CN, MF628CW
i-SENSYS MF631CN, MF633CDW, MF635CX
i-SENSYS MF641CW, MF643CDW, MF645CX
i-SENSYS MF651CW, MF655CDW ja MF657CDW
i-SENSYS MF724CDW, MF728CDW, MF729CX
i-SENSYS MF732CDW, MF734CDW, MF735CX
i-SENSYS MF742CDW, MF 744CDW, MF746CX
i-SENSYS MF8230CN, MF8230CW
i-SENSYS MF8540CDN, MF8550CDN, MF8580CDW
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z

Lisätietoja laiteohjelmistosta, ohjelmistoista ja tuotetuesta on Tukipalvelumme sivuilla.

CANON kiittää seuraavia henkilöitä haavoittuvuuden tunnistamisesta.

• CVE-2022-24672: Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho) @Synacktivista, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2022-24673: Angelboy (@scwuaptx) DEVCOREn tutkimustiimistä, joka osallistuu Trend Micron Zero Day Initiativeen
• CVE-2022-24674: Nicolas Devillers ( @nikaiw ), Jean-Romain Garnier ja Raphael Rigo ( @_trou_ ), jotka osallistuvat Trend Micron Zero Day Initiativeen

Spring MVC- tai Spring WebFlux -sovellus, joka toimii JDK 9+:ssä, voi olla altis etäkoodin suorittamiseen (RCE) tietojen sidonnan kautta. Määritetty heikkouden hyödyntäminen edellyttää, että sovellus toimii Tomcatissa WAR-käyttöönottona. Jos sovellus otetaan käyttöön suoritettavana Spring Boot -jar-tiedostona eli oletuksena, se ei ole altis heikkouden hyödyntämiselle. Haavoittuvuu on kuitenkin yleisluotoisempi, ja sitä voi hyödyntää muilla tavoilla. Haittaluokan tiedosto voi tehdä lähes mitä tahansa: vuotaa tietoja tai salaisuuksia, käynnistää muita ohjelmistoja, kuten kiristysohjelmia, louhia kryptovaluuttoja, avata takaovia tai toimia porttina verkkoon.

https://cpp.canon/products-technologies/security/latest-news/

Tämän sivun tarkoitus on luetella Canon Production Printing (CPP) -tuotteet, joihin seuraavat CVE-raportit voivat vaikuttaa:

• CVE-2022-22947
• CVE-2022-22950
• CVE-2022-22963
• CVE-2022-22965

Seuraavassa taulukossa on lueteltu Canon Production Printing -laitteisto- ja ohjelmistotuotteiden haavoittuvuustila. Tarkista päivitetty tilanne säännöllisesti.

Tarkistetut tuotteet ja tilat

CTS – Cutsheet and Toner Systems / arkkisyöttöinen mustesuihkupainokone

Tuotteet	Tila
PRISMAsync-tulostinpalvelinpohjaiset tuotteet	Ei vaikutusta
varioPRINT 140 -sarja	Ei vaikutusta
varioPRINT 6000 -sarja	Ei vaikutusta
varioPRINT i -sarja	Ei vaikutusta
varioPRINT iX -sarja	Ei vaikutusta
VPi300- ja VPiX-sarjojen Service Control Station (SCS)	Ei vaikutusta
VPi300- ja VPiX-sarjojen tabletti	Ei vaikutusta
PRISMAsync i300/iX -simulaattori	Ei vaikutusta
PRISMAprepare V6	Ei vaikutusta
PRISMAprepare V7	Ei vaikutusta
PRISMAprepare V8	Ei vaikutusta
PRISMAdirect V1	Ei vaikutusta
PRISMAprofiler	Ei vaikutusta
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Ei vaikutusta

PPP – tuotantotulostuslaitteet

Tuotteet	Tila
ColorStream 3×00 ColorStream 3x00Z	Ei vaikutusta
ColorStream 6000	Ei vaikutusta
ColorStream 8000	Ei vaikutusta
ProStream 1×00	Ei vaikutusta
LabelStream 4000 -sarja	Ei vaikutusta
ImageStream	Ei vaikutusta
JetStream V1 JetStream V2	Ei vaikutusta
VarioStream 4000	Ei vaikutusta
VarioStream 7000 -sarja	Ei vaikutusta
VarioStream 8000	Ei vaikutusta
PRISMAproduction Server V5	Ei vaikutusta
PRISMAproduction Host	Ei vaikutusta
PRISMAcontrol	Ei vaikutusta
PRISMAspool	Ei vaikutusta
PRISMAsimulate	Uusi versio saatavilla*
TrueProof	Ei vaikutusta
DocSetter	Ei vaikutusta
DPconvert	Ei vaikutusta

* Ota yhteyttä Canon-huoltoliikkeeseen

LFG – suurkuvatulostimet

Tuotteet	Tila
Arizona-sarja	tutkitaan
Colorado-sarja	Ei vaikutusta
ONYX-KESKITIN	tutkitaan
ONYX Thrive	tutkitaan
ONYX ProductionHouse	tutkitaan

TDS – Tekniset asiakirjajärjestelmät

Tuotteet	Tila
TDS-sarja	Ei vaikutusta
PlotWave-sarja	Ei vaikutusta
ColorWave-sarja	Ei vaikutusta
Scanner Professional	Ei vaikutusta
Driver Select, Driver Express, Publisher Mobile	Ei vaikutusta
Publisher Select	Ei vaikutusta
Account Console	Ei vaikutusta
Repro Desk	Ei vaikutusta

Palvelu- ja tukityökalut

Tuotteet	Tila
Remote Service -etäpalvelussa	Ei vaikutusta

RSA-avaimen luontiin liittyvä haavoittuvuus on havaittu salauskirjastossa, jota käytetään Canonin yrityskäyttöön tarkoitetuissa monitoimilaitteissa, lasertulostimissa ja mustesuihkutulostimissa. Alla on luettelo tuotteista, joita ongelma koskee.

Haavoitus altistaa julkiseen RSA-avaimeen liittyvän yksityisen avaimen tietoturvahyökkäykselle RSA-avainparin luonnissa havaitun ongelman takia.
Jos RSA-avainpari käyttää TLS- tai IPSec-salausta, sen luonnin yhteydessä salauskirjastoon syntyy haavoittuvuus ja kolmas osapuoli voi saada haltuunsa tai väärentää julkisen RSA-avaimen.

Toistaiseksi emme ole saaneet ilmoituksia tämän haavoittuvuuden hyödyntämisestä. Käyttäjät ovat turvassa, jos haavoittuvuuden sisältävät laiteohjelmistot on korjattu heidän laitteissaan.

Jos salauskirjastossa on RSA-avainpari, jossa on tämä haavoittuvuus, käyttäjältä edellytetään toimia laiteohjelmiston päivityksen jälkeen. Katso laitekohtaiset lisätiedot ja tutustu toimiin, joilla haavoittuvuus on korjattava.

Älä yhdistä laitteita suoraan Internetiin, vaan käytä palomuuria, suojattua yhteysympäristöä tai suojattua yksityistä verkkoympäristöä, jos käytössä on Wi-Fi-reititin. Määritä myös yksityinen IP-osoite.

Lisätietoja on kohdassa Tuotteiden suojaaminen verkkoyhteyttä muodostettaessa.

Käyttäjän toimia edellyttävät yrityskäyttöön tarkoitetut monitoimilaitteet, lasertulostimet ja mustesuihkutulostimet.

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
iR 1643i II, iR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233DW, LBP236DW
LBP631CW ja LBP633CDW
MF 453DW, MF455DW
MF552DW, MF553DW
MF651DW, MF655CDW, MF657CDW
PRO-G1/PRO-300,PRO-S1/PRO-200
ImagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830CX, MF832CX, MF832CDW, iR C1533, C1538
LBP720CX/LBP722CX/LBP722Ci/LBP722CDW/C1533P/C1538P

Mustesuihkutulostimien salausavaimen tarkistaminen ja haavoittuvuuden korjaaminen

Lisätietoja laiteohjelmistosta, ohjelmistoista ja tuotetuesta on Tukipalvelumme sivuilla.

Tutkimme parhaillaan Log4j-haavoittuvuuden https://logging.apache.org/log4j/2.x/security.html vaikutusta Canon-tuotteisiin. Päivitämme tätä artikkelia sitä mukaan, kun saamme lisätietoja.

Seuraavassa taulukossa on lueteltu laitteisto- ja ohjelmistotuotteiden haavoittuvuustila. Tarkista artikkeli säännöllisesti.

Tuote	Tila/Lausunto
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Ongelma ei koske näitä laitteita.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Remote Support Operator Kit • Content Delivery Service • Device Settings Configurator • Canon Reporting Service Online • OS400 Object Generator • CQue Driver • SQue Driver	Haavoittuvuus ei koske ohjelmistoa.
Canon Production Printing • PRISMA Cutsheet & Toner • jatkuva tulostus • suurkuvatulostimet • Tekniset asiakirjajärjestelmät	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Scan2x-lausunto Log4J-haavoittuvuudesta – scan2x
Cirrato • Cirrato One • Cirrato Embedded	Ei vaikutusta.
Compart • DocBridge Suite	Information - Compart
Docspro • Import Controller • XML Importer • Email Importer • Knowledge Base • Universal Test Release • Advanced PDF Creator • Webservice Export Connector	Ei vaikutusta.
Docuform • Mercury Suite	Ei vaikutusta.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Ei vaikutusta.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Genius MFP Canon Client	Log4j Zero Day -haavoittuvuus – Genius Bytes Ei vaikutusta.
IRIS • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 & 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Tutustu verkkokyselyyn	Ei vaikutusta.
Kofax • PowerPDF • eCopy ShareScan • Robotic Process Automation • Kofax Communication Manager Solution	Kofax-tuotteet ja Apache Log4j2 - haavoittuvuustiedot - Kofax Ei vaikutusta. Noudata ShareScan-korjauspäivityksien julkaisuun asti seuraavia ohjeita: ShareScan and Log4j vulnerability (CVE-2021-44228) - Kofax-artikkeli. Korjauspäivityksiä on saatavana. Lisätietoja on artikkelissa Kofax RPA CVE-2021-44228 log4j Security Exploit Information. Korjauspäivityksiä on saatavana. Lisätietoja on artikkelissa log4j vulnerability in Kofax Communications Manager.
Netaphor • SiteAudit	SiteAudit-haavoittuvuus | Netaphor SiteAudit(TM) Knowledgebase
Netikus • EventSentry	Vaikuttaako Log4Shell Log4j RCE CVE-2021-44228 -haavoittuvuus EventSentry-järjestelmään | EventSentry
Newfield IT • Asset DB	Ei vaikutusta.
Objectif Lune • Connect	Aiemmissa Objectif Lune Connect -versioissa käytettiin Log4j -moduulia, mutta se poistettiin ohjelmistosta Objectif Lune Connect 2018.1 -version myötä. Haavoittuvuus ei siis vaikuta tuotteeseen, jos käytössä on vähintään Objectif Lune Connect 2018.1 -versio.
OptimiDoc • OptimiDoc	OptimiDoc | Log4j-tiedot
Yleistä • Print In City	Ei vaikutusta.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) - miten haavoittuvuus vaikuttaa PaperCut-ohjelmistoon? | PaperCut
Paper River • TotalCopy	Ei vaikutusta.
Ringdale • FollowMe Embedded	Ei vaikutusta.
Quadient • Inspire Suite	Quadient University – Log4J-tietoja nykyisille asiakkaille
T5 Solutions • TG-PLOT/CAD-RIP	Ei vaikutusta.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Westpole • Älykäs tulostuksenhallinta	Ei vaikutusta.

Pienille toimistoille tarkoitettujen Canon-lasertulostimien ja -monitoimilaitteiden Remote UI -etäkäyttöliittymässä on havaittu sivustojenvälisiä komentosarjoja koskeva haavoittuvuus. Katso mallit, joita ongelma koskee (haavoittuvuuden tunnistenumero: JVN # 64806328).

Jotta tätä haavoittuvuutta voidaan hyödyntää, hyökkääjän on oltava järjestelmänvalvojatilassa. Vaikka tietojen katoamisia ei ole ilmoitettu, suosittelemme uusimman laiteohjelmiston asentamista tietoturvan parantamiseksi. Päivitykset ovat saatavana osoitteessa https://www.canon-europe.com/support/.

Suosittelemme käyttämään tuotteissa yksityistä IP-osoitetta ja verkkoympäristöä, jossa yhteyden käyttöä on rajoitettu palomuurilla tai Wi-Fi-reitittimellä. Lisätietoja verkkoyhteyden suojausmenetelmistä on osoitteessa https://www.canon-europe.com/support/product-security/.

Tuotteet, joita ilmiö koskee:

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F

Microsoft Windowsin taustatulostuspalvelun haavoittuvuus havaittiin aiemmin tänä vuonna. Haavoittuvuudesta käytetään nimeä PrintNightmeare. Haavoittuvuuden ansiosta hakkerit voivat hallita käyttäjien Windows-järjestelmiä tietyissä olosuhteissa.

Vaikka tämä voi vaikuttaa Canon-laitteiden käyttäjiin, se johtuu Microsoftin ohjelmiston ongelmasta eikä Canonin tuotteista tai ohjelmistoista. Ongelma vaikuttaa liittyvän tulostusjonotoimintoon, joka on asennettu jokaiseen Windows Server- ja Windows Desktop -versioon.

Microsoft on ilmoittanut, että nämä haavoittuvuudet on korjattu heinäkuun suojauspäivityksessä, joka on saatavilla Windows Updaten kautta tai lataamalla ja asentamalla tietoturvapäivitys KB5004945. Microsoft suosittelee, että otat tämän päivityksen käyttöön välittömästi, jotta haavoittuvuuksiin liittyvät hyökkäykset voidaan estää. Microsoft tarjoaa lisätietoja ongelmasta osoitteessa https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Microsoftin päivitysten asennuksen lisäksi suosittelemme varmistamaan, että seuraavien rekisteriasetusten arvo on 0 (nolla) tai että niitä ei ole määritetty (huomautus: nämä rekisteriavaimet eivät ole oletusarvoja, joten ne voivat jo olla suojattuja). Lisäksi on varmistettava, että ryhmäkäytännön asetus on:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) tai ei määritetty (oletusasetus)
• UpdatePromptSettings = 0 (DWORD) tai ei määritetty (oletusasetus)

NoWarningNoElevationOnInstall-rekisteriavaimen arvo 1 voi heikentää järjestelmän suojausta.

Suosittelemme, että IT-tiimisi seuraa edelleen Microsoftin tukisivustoa ja varmistaa, että kaikki käyttöjärjestelmän korjaustiedostot otetaan käyttöön.

Voimme tutkimusten perusteella varmistaa, että haavoittuvuus ei vaikuta imageRUNNER-, imageRUNNER ADVANCE- tai i-SENSYS-tuotteisiin. Jatkamme tutkimuksia muiden Canon-tuotteiden osalta ja päivitämme tätä artikkelia saatuamme lisätietoja.

BSI (Bundesamt für Sicherheit in der Informationstechnik) on ilmoittanut, että microMIND-verkkokäyttöönotossa on havaittu useita haavoittuvuuksia. Haavoittuvuuden havaitsi Forescout Technologiesin tutkijat Jos Wetzels, Stanislav Dashevskyi, Amine Amri ja Daniel dos Santos.

microMIND käyttää avoimen lähdekoodin uIP-pinoa https://en.wikipedia.org/wiki/UIP_(micro_IP), joka on käytössä tuhansissa eri yrityksissä. Haavoittuvuudet altistavat palvelunestohyökkäyksille, jossa laitteiden verkkoyhteys voidaan katkaista tai microMIND-palvelussa voidaan suorittaa etäkoodi. Näiden haavoittuvuuksien korjaamiseksi NT-ware on julkaissut uuden laiteohjelmiston, joka korjaa kaikki ilmoitetut ongelmat. Tämän tietoturvatiedotteen julkaisuhetkellä ei ole tiedossa microMIND-ohjelmistoon kohdistettuja hyökkäyksiä.

Haavoittuvuuden nimi/linkki: AMNESIA:33, https://www.forescout.com/amnesia33/

Uusi laiteohjelmisto korjaa seuraavat haavoittuvuudet: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437

Haavoittuvuudet, jotka eivät liity microMIND-käyttöönottoon uIP-pinossa CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335

uniFLOW microMIND -laiteohjelmisto, jota ongelma koskee: versio 2.0.9 ja sitä uudemmat versiot tai versiot, jotka on toimitettu ennen lokakuuta 2020.

Toimenpiteet: Jos käytössä on microMIND, jota ongelma koskee, ota yhteys Canonin edustajaan ja pyydä apua laiteohjelmiston päivittämisessä.

Kyberturvallisuusyhtiö SCADAfence Ltd., jonka pääkonttori on Israelissa, on ilmoittanut haavoittuvuudesta, joka liittyy Canonin lasertulostimissa ja pienissä toimiston monitoimilaitteissa käytettävään IP-pinon protokollaan. Lisätietoja on saatavilla tunnisteella CVE-2020-16849.

Kolmannen osapuolen hyökkäys laitteeseen on mahdollinen, kun laite on yhdistettynä verkkoon, jolloin osoitekirjan tietoja ja/tai järjestelmänvalvojan salasana voidaan kaapata suojaamattoman verkon kautta. On huomioitava, että kun etäkäyttöliittymän tiedonsiirrossa käytetään HTTPS-protokollaa, tiedot suojataan salauksella.

Tähän mennessä ei ole tiedossa varmistettuja tapauksia, joissa näitä haavoittuvuuksia olisi hyödynnetty. Jotta asiakkaamme kuitenkin voisivat käyttää tuotteitamme turvallisesti, seuraaviin tuotteisiin on saatavilla uusi laiteohjelmisto:

i-SENSYS MF -sarja
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW

i-SENSYS LBP -sarja
LBP113W
LBP151DW
LBP162DW

imageRUNNER-sarja
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF

Katso käyttöoppaasta ohjeet laiteohjelmiston päivittämiseen.
Suosittelemme käyttämään tuotteissa yksityistä IP-osoitetta sekä määrittämään turvalliset verkon parametrit esimerkiksi käyttämällä palomuuria tai Wi-Fi-reititintä, jotka rajoittavat pääsyä verkkoon. Lisätietoja on jäljempänä kohdassa Verkkoon yhdistettyjen tuotteiden turvallisuus.

Emme ole havainneet tutkimuksissamme Ripple20-haavoittuvuuden aiheuttamia ongelmia Canonin tulostimissa.

Canonin langattoman toiminnon salasana täyttää WPA-standardin vaatimukset, mutta kahdeksan merkin salasanasuojaus ei silti ole kaikissa tapauksissa riittävän tehokas. Siksi suosittelemme, että langattomassa verkossa ja erityisesti julkisissa paikoissa, Canonin laitteet on aina yhdistettävä Wi-Fi-verkon suojausinfrastruktuuriin. Suhtaudumme tietoturvaan vakavasti, joten päivitämme tuotteidemme Wi-Fi-suojausta jatkuvasti, jotta laitteet pysyvät suojattuina. Tietoturvapäivitykset julkaistaan näillä sivuilla. Canon haluaa kiittää REDTEAM.PL:a heidän ehdotuksestaan muuttaa salasanasuojausta.

ImageRUNNER ADVANCE -ohjelmistossa on versiosta 3.8 lähtien Syslog-protokolla (RFC 5424-, RFC 5425- ja RFC 5426-standardien mukainen). Toiminto tarjoaa käyttöön lähes reaaliaikaisen viestitoiminnon, joka parantaa laite- ja suojaustapahtumien näkyvyyttä. Toiminto perustuu laitteen tiedonkeruutoimintoon, jonka avulla voidaan muodostaa yhteys suojaustietotapahtumien hallintaan (SIEM) tai Syslog-palvelimeen. Oheisessa SIEM_spec-asiakirjassa on lisätietoja viestityypeistä ja lokitiedoista.

VxWorks-käyttöjärjestelmässä on havaittu 11 haavoittuvuutta, joille on annettu nimi "URGENT/11" (CVE-2019-12255–CVE-2019-12265). Olemme saaneet selville, että VxWorks-käyttöjärjestelmän IPnet TCP/IP -pino on käytössä myös muissa reaaliaikaisissa käyttöjärjestelmissä. Tämä tarkoittaa, että laajempi joukko tuotteita voi altistua näille haavoittuvuuksille (CVE-2019-12255, CVE-2019-12262 ja CVE-2019-12264).

Monet vanhat eurooppalaiset tuotemallit voivat olla haavoittuvaisia tälle ongelmalle, koska ne voivat käyttää virheellistä IPnet TCP/IP -pinoa:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Kiitos, että käytät Canon-tuotteita.

Kansainvälinen tietoturva-asiantuntijatiimi on ilmoittanut haavoittuvuudesta, joka liittyy Canonin digitaalikameroissa käytettävän Picture Transfer Protocolin (PTP) kautta kulkeviin yhteyksiin. Se on myös löytänyt laiteohjelmistopäivityksiin liittyvän haavoittuvuuden.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

Näiden haavoittuvuuksien vuoksi kolmannen osapuolen hyökkäys kameraan on mahdollinen, jos kamera on yhdistetty tietokoneeseen tai mobiililaitteeseen, joka on kaapattu suojaamattoman verkon kautta.

Vahvistettuja tapauksia, joissa näitä haavoittuvuuksia olisi hyödynnetty, ei ole tiedossa. Jotta asiakkaamme kuitenkin voisivat käyttää tuotteitamme turvallisesti, haluamme tässä kertoa ratkaisuista ongelmaan.

• Varmista, että kameraan yhdistettyjen laitteiden, kuten tietokoneen, mobiililaitteen tai reitittimen, tietoturva-asetukset ovat asianmukaiset.
• Älä liitä kameraa tietokoneeseen tai mobiililaitteeseen, jota on käytetty suojaamattomassa verkossa, kuten ilmaisessa Wi-Fi-verkossa.
• Älä yhdistä kameraa tietokoneeseen tai mobiililaitteeseen, joka on mahdollisesti saanut viruksen.
• Poista kameran verkkotoiminnot käytöstä, kun niitä ei käytetä.
• Lataa virallinen laiteohjelmisto Canonin verkkosivustosta, kun päivität kameran laiteohjelmiston.

Tietokoneita ja mobiililaitteita käytetään yhä useammin suojaamattomissa (ilmainen Wi-Fi) verkoissa, joissa asiakkaat eivät tiedä verkon suojauksesta. Kuvien siirtäminen kamerasta mobiililaitteeseen Wi-Fi-yhteyden kautta on yhä suositumpaa, joten haluamme tuoda saataville laiteohjelmistopäivityksiä seuraaville Wi-Fi-yhteystoimintoja sisältäville malleille:

Nämä haavoittuvuudet vaikuttavat seuraaviin EOS-sarjan digitaalisiin järjestelmäkameroihin ja peilittömiin kameroihin:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 Jos käytössä on Wi-Fi-sovitin tai langaton lähetin, Wi-Fi-yhteys voidaan muodostaa.

^*2 Haavoittuvuudet koskevat myös Ethernet-liitäntöjä.

Laiteohjelmiston päivitystiedot annetaan jokaiselle tuotteelle vuorotellen, alkaen tuotteista, joiden valmistelut on tehty.

Hotfix-korjauksen asennusohjeet ovat täällä. 

Olemme sitoutuneet tuottamaan asiakkaillemme tietoturvallisia ratkaisuja. Pahoittelemme tilanteesta mahdollisesti aiheutunutta haittaa. Saat tarvittaessa lisätietoja tästä tiedotteesta paikallisesta Canon-toimistosta, valtuutetulta jälleenmyyjältä tai Canonin tukipalvelusta. Ilmoita mahdollisista epäilyttävistä tapahtumista viipymättä asiakaspäällikölle ja IT-osastolle.

Viimeaikoina tutkijat ovat raportoineet tiettyjen tuotteiden faksiominaisuuksien viestintäprotokollissa ilmenneitä haavoittuvuuksia. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Lisätietoja haavoittuvuuksien vaikutuksista faksiominaisuudella varustettuihin Canon-tuotteisiin on alla:

Canon-tuotteissa ei käytetä haavoittuvuuksissa hyödynnettyä G3-värifaksiprotokollaa, joten Canonin arvion mukaan haavoittuvuus ei koske seuraavia tuotteita: imageRUNNER/iR-, imageRUNNER ADVANCE-, LASER CLASS-, imagePRESS-, FAXPHONE-, GP- ja imageCLASS/i-SENSYS -sarjan mallit, joissa on faksiominaisuus.

MAXIFY- ja PIXMA-sarjojen faksiominaisuudella varustetuissa tuotteissa käytetään G3-värifaksiprotokollaa. Canon ei kuitenkaan ole todennut, että fakseissa käytettäisiin vahingollista koodia tai että näihin laitteisiin tallennetut tiedot olisivat vaarassa.

Jatkamme tilanteen seuraamista ja ryhdymme tarvittaviin toimenpiteisiin taataksemme laitteidemme turvallisuuden.

Intelin, AMD:n ja ARM:n suorittimiin liittyvistä haavoittuvuuksia tiedotettiin hiljattain. Näissä suorittimissa suorituskykyä parannetaan ennakoivalla suorituksella. Haavoittuvuuksia hyödyntävä hyökkääjä saattaa päästä luvattomasti käsiksi yksityisen välimuistin sisältöön.

Havaitut kaksi haavoittuvuustyyppiä käyttävät eri tekniikoita ennakoitavan suorituksen toimintojen hyödyntämiseen tietyissä suorittimissa. Nämä haavoittuvuudet ovat CVE-2017-5715, CVE-2017-5753: “Spectre” ja CVE-2017-5754: “Meltdown”.

Haavoittuvuudet saattavat vaikuttaa seuraaviin Canonin ulkoisiin ohjaintuotteisiin. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon valmistelee korjauksia, joiden avulla asiakkaat voivat huoletta jatkaa tuotteidemme käyttöä.

ColorPASS: 
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1

imagePASS: 
U1 v1.1, U1 v1.1.1, U2 v1.0 
Y1 v1.0, Y2 v1.0

imagePRESS CR -palvelin: 
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1

imagePRESS-palvelin: 
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0 
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0 
F200 v1.21, H300 v1.0 
J100 v1.21, J200 v1.21 
K100 v1.0, K200 v1.0 
Q2 v2.0, Z1 v1.0

Haavoittuvuudet saattavat vaikuttaa seuraavaan Canon-palveluun. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon on korjannut ongelman helmikuussa 2018.

MDS Cloud

Näillä haavoittuvuuksilla ei ole vaikutuksia eikä tunnettuja hyödyntämistapoja mihinkään Canon-lasertulostimiin tai niihin liittyviin ohjelmistotuotteisiin edellä mainittua lukuun ottamatta. Asiakkaat voivat jatkaa tuotteidemme käyttämistä luotettavasti.

Canon pyrkii jatkuvasti takaamaan korkeimman mahdollisen turvatason kaikissa tuotteissa ja ratkaisuissa. Otamme asiakkaidemme tietoturvan vakavasti, ja sen suojaaminen on meille ensisijaisen tärkeää.

Tutkija paljasti äskettäin haavoittuvuuden langattoman lähiverkon (Wi-Fi) WPA2-salausprotokollassa. Haavoittuvuudesta johtuen hyökkääjä voi kaapata asiakaslaitteen (laite, jossa on Wi-Fi-toiminto) ja tukiaseman (esim. reititin) välisen langattoman tiedonsiirron ja aiheuttaa vahinkoa. Haavoittuvuutta ei voi käyttää hyväksi Wi-Fi-kantaman ulkopuolella tai internetin välityksellä. 

Emme ole vielä pystyneet vahvistamaan, onko haavoittuvuus aiheuttanut ongelmia Canon-tuotteiden käyttäjille. Suosittelemme kuitenkin seuraavia toimenpiteitä, jotta asiakkaamme voivat rauhassa jatkaa tuotteidemme käyttöä: 
• Liitä yhteensopivat laitteet suoraan verkkoon USB-kaapelilla tai Ethernet-kaapelilla. 
• Salaa tiedonsiirto laitteissa, joissa salaus (TLS/IPSec) on mahdollista. 
• Käytä fyysisiä tallennusvälineitä, kuten SD-kortteja. 
• Käytä Suora langaton yhteys- ja Suora yhteys -asetuksia.

Ominaisuuksien käyttö ja toiminnot vaihtelevat laitteittain. Katso tarkemmat tiedot laitteen käyttöohjeesta. Suosittelemme myös tekemään tarvittavat toimenpiteet tietokoneessasi ja älypuhelimessasi. Lisätietoja laitekohtaisista toimenpiteistä saat laitteen valmistajalta.

Olemme tietoisia University Alliance Ruhrin tutkimusta koskevista uutisartikkeleista. Tutkimus koskee mahdollista verkkotulostinten haavoittuvuutta, joka hyödyntää alalla yleisesti käytettävää PostScript-ohjelmointikieltä. Tutkimuksessa ei testattu Canon-laitteita.

Canon pyrkii jatkuvasti varmistamaan, että kaikkien sen tuotteiden ja ratkaisujen tietoturva pysyy mahdollisimman hyvänä. Tämä koskee myös verkkotulostimia. Otamme asiakkaidemme tietoturvan vakavasti, ja sen suojaaminen on meille ensisijaisen tärkeää. Monitoimilaitteiden suojausoppaassamme kerrotaan parhaat asetukset tietoturvalliseen käyttöön sekä neuvotaan niiden määrittämisessä.

Alla on tietoa yksittäisiin Canon-tuotteisiin liittyvistä suojausmenetelmistä ja niiden käyttöön ottamisesta. Huomaa, että nämä tiedot ovat saatavilla vain englanniksi.

Mustesuihkutulostimet (PIXMA-sarja) ja yritysmustesuihkutulostimet (MAXIFY-sarja) – 530 kt	Fiery-ohjaimet (imagePRESS Server, ColorPASS, imagePASS) – 1,2 Mt	Suurkuvamustesuihkutulostin (imagePROGRAF-sarja) – 1,15 Mt	Lasertulostimet ja pienet toimiston monitoimilaitteet (LBP- ja MF-sarja) – 1,01 Mt
Monitoimitulostimet toimistoihin ja tuotantotulostukseen (imageRUNNER-, imageRUNNER ADVANCE- ja imagePRESS-sarja) – 754 kt	Verkkokamerat – 2,6 Mt	Monitoimilaitteiden suojausopas – 2,03 Mt	Verkkoskannerit (imageFORMULA-sarja) – 602 kt
Canon imageRUNNER -tietoturvamatriisi – 545 Kt	Canon-laitteiden tietoturvakatsaus – 1,98 Mt	ImageRUNNER ADVANCE- ja imageRUNNER ADVANCE DX -suojauksen white paper -julkaisu 4,49 Mt	SIEM_spec (imageRUNNER ADVANCE) – 84 kt
ColorWave- ja PlotWave SMARTshield -suojauksen white paper -julkaisu – 1,01 Mt

Canon pitää tietoturvaa tärkeänä ja pyrkii suojaamaan kirjoitettujen, puhuttujen ja elektronisten tietojen salassapitoa, yhtenäisyyttä ja saatavuutta seuraavien asioiden takaamiseksi:

• Salassapidon turvaaminen – tietoja voivat käyttää vain valtuutetut henkilöt
• Yhtenäisyyden turvaaminen - tiedot ja prosessit ovat tarkkoja ja täydellisiä
• Saatavuuden turvaaminen – valtuutetut käyttäjät saavat tiedot silloin, kun he niitä tarvitsevat

ISO 27001-sertifikaatti tarkoittaa, että Canon Europella on järjestelmiä, jotka suojaavat yritystietoja ja -dataa verkossa ja sen ulkopuolella. ISO 27001-sertifikaatti tarkoittaa myös, että Canon Europen turvallisuutta koskevat prosessit kehittelystä toimitukseen on arvioinut ulkopuolinen taho ja että Canon Europelle on myönnetty kolmannen osapuolen kansainvälinen sertifikaatti.

Canon Europen tietoturvan hallintajärjestelmälle on myönnetty ISO 27001 -sertifikaatti, joten asiakkaamme voivat luottaa siihen, että toimimme korkeimpien kansainvälisten standardien mukaisesti. ISO 27001 -standardi kattaa kaikki tietoturvallisuuteen liittyvät osa-alueet riskeistä ja tuoteturvallisuudesta auditointien ja häiriötilanteiden hallintaan.

Canon Europen tietoturvan hallintajärjestelmään (ISMS) kuuluvat seuraavat osa-alueet:

• tietoturvakäytäntö
• tietoturvan järjestäminen
• resurssien hallinta
• henkilöstöhallinnon tietoturva
• fyysisen ympäristön tietoturva
• viestinnän ja toimintojen hallinta
• käytönvalvonta
• tietojärjestelmien hankinta, kehittäminen ja ylläpito
• tietoturvaongelmien hallinta
• liiketoiminnan jatkuvuuden hallinta
• säännösten mukainen toiminta.

Canon EMEA PSIRT (tietoturvahäiriöiden valmiustiimi) on osa maailmanlaajuista Canon PSIRT -organisaatiota, joka vastaa Canonin EMEA-alueen tuotteisiin, järjestelmiin ja palveluihin liittyvien haavoittuvuuksien käsittelystä. Parannamme jatkuvasti tuotteidemme suojaustasoa ja tarjoamme asiakkaillemme erittäin tietoturvallisia tuotteita noudattamalla alan parhaita käytäntöjä.

Canon EMEA PSIRT ottaa vastaan tietoja mistä tahansa epäillystä tuotteen haavoittuvuudesta. Käsittelemme tietoja haavoittuvuuksien ilmoituskäytännönmukaisesti.

Jos olet mielestäsi havainnut Canon-tuotteen tietoturvaongelman tai haluat ilmoittaa tietoturvaongelmasta, voit ottaa yhteyttä Canonin EMEA-alueen tietoturvahäiriöiden valmiustiimiin joko lähettämällä sähköpostia osoitteeseen product-security@canon-europe.com tai täyttämällä tuotteen haavoittuvuusilmoituslomakkeen. Kirjoita yksityiskohtainen yhteenveto tietoturvaongelmasta ja mainitse tuotteen täsmällinen nimi, ohjelmistoversio ja ongelman tyyppi. Anna myös sähköpostiosoite ja puhelinnumero, joihin voimme ottaa yhteyttä, jos tarvitsemme lisätietoja.

Ota huomioon, että tämä sähköpostiosoite on tarkoitettu vain tietoturvaongelmista ilmoittamiseen, ei yleisiä tukiongelmia varten. Jos tarvitset apua muihin tuoteongelmiin, käy tukisivuillamme.

Canonin (EMEA) tietoturvatiimi on sitoutunut suojaamaan Canonin asiakkaita ja työntekijöitä. Osana tätä sitoumusta kutsumme tietoturva-asiantuntijoita auttamaan Canonia ja raportoimaan havaitsemistaan haavoittuvuuksista ja heikkouksista. Havainnoista voi ilmoittaa osoitteeseen appsec@canon-europe.com.

Soveltamisalaan kuuluvat toimialueet

Tämä on luettelo toimialueista, jotka liittyvät Canonin haavoittuvuuksien paljastamiskäytäntöön.

*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Voit ilmoittaa haavoittuvuuksista sähköpostitse osoitteeseen appsec@canon-europe.com. Mainitse viestissä mitä haavoittuvuuksia olet löytänyt ja kuvaile niitä mahdollisimman yksityiskohtaisesti. Pyri antamaan mahdollisimman kattavia tietoja, jotta Canonin tietoturva-asiantuntijat voivat toisintaa haavoittuvuuden. Sisällytä viestiin erityisesti seuraavat asiat:

• Haavoittuvuuden tyyppi
• Yksityiskohtaiset ohjeet haavoittuvuuden toisintamiseen
• Tapa, jolla havaitsit haavoittuvuuden
• Koko URL-osoite
• Kohteet (kuten suodattimet tai syöttökentät), jotka voivat vaikuttaa haavoittuvuuteen
• Näyttökuvista on paljon apua
• Kirjoita oma IP-osoitteesi haavoittuvuutta koskevaan ilmoitukseen. Säilytämme tietoa luottamuksellisena ja sitä käytetään vain testaukseen ja lokitietojen tunnistamiseen.

Älä liitä ilmoitukseen automaattisesti tietoturvaohjelmien raportteja.

Älä liitä ilmoitukseen seuraavia tietoja:

• Palveluestohyökkäyksiin liittyviä haavoittuvuuksia (joiden valtava määrä voi heikentää palvelumme toimintaa).
• TLS-asetuksien haavoittuvuuksia (kuten heikon salauksen aiheuttamia ongelmia, TLS1.0-tukeen liittyviä virheitä tai sweet32-tietoja).
• Sähköpostiosoitteen tunnistamiseen ja tilin luontiin liittyviä ongelmia osoitteessa myid.canon.
• XSS-haavoittuvuuksia
• Yhdistettyjä komentosarjoja, jotka liittyvät sisältöön osoitteessa www.canon.*
• Suojaamattomia evästeitä, jotka liittyvät osoitteeseen www.canon.*
• CSRF- ja CRLF-hyökkäyksiä, joiden vaikutus on vähäinen.
• HTTP-toimialuenimeen liittyviä XSS-haavoittuvuuksia ilman soveltuvuusselvitystä.
• Epätäydellinen/puuttuva SPF/DMARC/DKIM
• Käyttäjien manipulointiin perustuvia hyökkäyksiä
• Tietoturvavirheet Canonin kanssa integroitavissa kolmansien osapuolten sivustoissa
• Verkkotietojen luettelointitekniikoita (esim. banneritietojen kaappaus tai julkisesti saatavilla olevat palvelimen vianmäärityssivut)
• Raportteja, jotka osoittavat, että palvelumme eivät täysin vastaa "parhaita käytäntöjä".

Canonin tietoturva-asiantuntijat tutkivat ilmoituksesi ja ovat yhteydessä sinuun viiden arkipäivän kuluessa. 

Yksityisyytesi

Käytämme henkilötietojasi vain ilmoitukseesi liittyviin toimiin. Emme jaa henkilötietojasi muille ilman nimenomaista lupaasi.

Mahdolliset laittomat toimet

Jos havaitset haavoittuvuuden ja tutkit sitä, voit suorittaa toimenpiteitä, jotka ovat lainvastaisia. Jos noudatat alla olevia IT-järjestelmiemme haavoittuvuuksien ilmoittamista koskevia sääntöjä ja periaatteita, emme raportoi lainvastaisia toimia viranomaisille emmekä lähetä korvausvaatimusta.

On kuitenkin tärkeää tietää, että yleinen syyttäjä (ei CANON) voi päättää syytteeseen asettamisesta, vaikka emme olisi tehneet ilmoitusta lainvastaisista toimista viranomaisille. Emme voi siis taata, että sinua ei syytetä, jos syyllistyt haavoittuvuuden tutkintaan liittyvään lainvastaiseen toimintaan.

Yhdysvaltain oikeusministeriön (Ministry of Security and Justice) National Cyber Security Centre on laatinut ohjeet IT-järjestelmien haavoittuvuuksien ilmoittamisesta. Sääntömme perustuvat näihin ohjeisiin. (https://english.ncsc.nl/)

Yleiset periaatteet

Toimi vastuullisesti ja noudata erityistä varovaisuutta. Kun tutkit asiaa, käytä vain sellaisia menetelmiä tai tekniikoita, jotka ovat välttämättömiä haavoittuvuuden löytämiseksi tai sen esittelemiseksi.

• Älä käytä havaintojasi muihin tarkoituksiin kuin omiin tutkimuksiisi.
• Älä manipuloi käyttäjiä saadaksesi pääsyn IT-järjestelmään.
• Älä asenna takaovia edes järjestelmän haavoittuvuuden testaamista varten. Takaovet heikentävät järjestelmän yleistä turvallisuutta.
• Älä muuta tai poista mitään järjestelmän tietoja. Jos sinun on kopioitava tietoja tutkimusta varten, älä koskaan kopioi niitä enempää kuin tarvitset. Jos yksi tietue riittää, älä kopioi enempää tietoja.
• Älä muuta järjestelmää millään tavalla.
• Tunkeudu ilman lupaa järjestelmään vain, jos se on ehdottoman välttämätöntä. Jos pääset ilman lupaa sisään järjestelmään, älä jaa pääsyä muiden kanssa.
• Älä käytä väsytyshyökkäyksiä, kuten salasanojen antamista toistuvasti, jotta pääset käsiksi järjestelmiin.
• Älä käytä palvelunestohyökkäyksiä käyttöoikeuden hankkimiseen.

Saanko palkkion tekemästäni tutkimustyöstä?

Ei, sinulla ei ole oikeutta palkkioon tai korvaukseen.

Voinko julkaista tiedon havaitsemastani haavoittuvuudesta?

Älä julkaise Canonin IT-järjestelmissä havaitsemiasi haavoittuvuuksia ilman, että kysyt asiasta ensin sähköpostitse osoitteesta appsec@canon-europe.com. Voimme yhdessä estää rikollisia käyttämästä väärin tietojasi. Ota yhteyttä tietoturvatiimiimme, niin voimme yhdessä julkaista tiedon haavoittuvuudesta.

Voinko ilmoittaa haavoittuvuudesta nimettömästi?

Kyllä. Sinun ei tarvitse kertoa nimeäsi tai antaa yhteystietojasi, kun ilmoitat havaitsemastasi haavoittuvuudesta. Huomaa kuitenkin, että siinä tapauksessa emme voi ottaa sinuun yhteyttä liittyen mahdollisiin jatkotoimenpiteisiin.

Mihin tätä sähköpostiosoitetta ei saa käyttää?

Sähköpostiosoitetta appsec@canon-europe.com ei saa käyttää seuraaviin tarkoituksiin:

• Valitusten lähettäminen Canon-tuotteista tai -palveluista
• Kysymyksien ja valituksien lähettäminen Canonin verkkosivustojen saatavuudesta.
• Petoksesta tai petosepäilystä ilmoittaminen
• Tietojenkalasteluviesteistä ilmoittaminen
• Viruksista ilmoittaminen