Auswirkungen der Schwachstellen CVE-2023-34259, CVE-2023-34260 und CVE-2023-34261 auf unsere Produkte
I. Zusammenfassung der Sicherheitslücken
Produkt:
Diverse Systeme
(detaillierte Auflistung der betroffenen Modelle siehe unten)
Veröffentlichung:
05.07.2023
Diverse Systeme
(detaillierte Auflistung der betroffenen Modelle siehe unten)
Veröffentlichung:
05.07.2023
Beschreibung:
Wir möchten Sie darüber informieren, dass eine Sicherheitslücke im Webinterface unserer Drucker und Multifunktionsgeräte festgestellt wurde, mit dem Benutzer verschiedene Einstellungen von Multifunktionsgeräten via Netzwerk überprüfen und ändern können. Im Folgenden finden Sie einen Überblick über das Problem und seine Lösung. Zum Zeitpunkt dieser Veröffentlichung sind uns keine Angriffe bekannt, die diese Schwachstellen ausnutzen.
Es wurden drei Sicherheitsrisiken identifiziert:
Es wurden drei Sicherheitsrisiken identifiziert:
- Schwachstelle CVE-2023-34259 | Pfadumgehung: Das Webinterface hat eine Pfadumgehungs-Schwachstelle. Hierbei handelt es sich um einen Angriff auf Web-Anwendungen. Durch Manipulation des Wertes des Dateipfades kann ein Angreifer Zugriff auf das Dateisystem, einschließlich Quellcode und kritischer Systemeinstellungen erlangen.
- Schwachstelle CVE-2023-34260 | Denial of Service (DoS): Es gibt eine Sicherheitslücke, die das Webinterface durch einen DoS-Angriff unbrauchbar macht. Durch Manipulation des Wertes des Dateipfades kann das Webinterface funktionsunfähig werden.
- Schwachstelle CVE-2023-34261 | Aufzählung der Benutzer: Durch mehrmalige Login-Versuche kann ein Angreifer herausfinden, ob ein Login-Benutzername in der Datenbank für das Gerät bei der eine Webinterface Anmeldung existiert.
II. Lösungsbeschreibung
Die IT-Sicherheit von Kundinnen und Kunden hat für TA Triumph-Adler höchste Priorität. Als Gegenmaßnahme wird eine Firmware zur Verfügung gestellt, welche die vom Webinterface verwalteten Pfade kontrolliert. Nachfolgend finden Sie eine Übersicht zu betroffenen Systemen inkl. Release-Datum des jeweiligen Firmware-Updates: