情報処理推進機構(IPA)は4月10日,米Hewlett-Packard(HP)のプリンタ「Color LaserJet 2500/4600」に同梱されているWindows版「Toolbox」ソフト バージョン3.0以前(3.0を含む)にセキュリティ・ホールがあるとして注意を呼びかけた。同ソフトが動作するパソコン内のファイルをネット経由で盗まれる可能性がある。対策はバージョン3.1にアップグレードすること。
セキュリティ・ホールに関する情報は,HPが米国時間4月2日に同社サイトで公開済み。原因は,HP Color LaserJet 2500/4600 Toolboxに含まれるWebサーバー(HTTPサーバー)ソフトがリクエストをきちんとチェックしないこと。「..」を含むURLリクエストを受け付けてしまうため,デフォルト設定のままではディレクトリ・トラバーサル攻撃(directory traversal attack)を許し,同ソフトが動作するパソコン内の任意のファイルにアクセスされる可能性がある。
ただし,同ソフトがリクエストを待ち受けるポートはデフォルトでは5225番なので,インターネット境界にファイアウオールやルーターなどを設定している環境では,外部からこのセキュリティ・ホールを悪用される危険性は小さい。セキュリティ・ベンダーのデンマークSecuniaでは,このセキュリティ・ホールの深刻度(Critical)を,下から2番目の「Less critical」に設定している。
対策は,HPが公開する最新版にアップデートすること。ダウンロード・サイトや最新版のインストール方法については,同社の情報を参照のこと。
◎参考資料
◆他組織からの脆弱性情報:Hewlett-Packard 社 プリンタ用ソフトに脆弱性(IPA)
◆HP Color LaserJet 2500 and 4600 Toolbox Running on Microsoft Windows Remote Unauthorized Disclosure of Information(米HP)
◆HP Color LaserJet 2500/4600 Toolbox Disclosure of Sensitive Information(デンマークSecunia)
◆HP Color LaserJet 2500 and 4600 Toolbox(米CIAC)
