独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月19日、富士ゼロックス製複合機およびプリンタにおけるサービス運用妨害(DoS)の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社イエラエセキュリティの川田柾浩氏が報告を行っている。影響を受けるシステムは以下の通り。DocuCentre-VII C7773 / C6673 / C5573 / C4473 / C3373 / C2273DocuCentre-VII C7788 / C6688 / C5588ApeosPort-VII C7773 / C6673 / C5573 / C4473 / C3373 / C2273ApeosPort-VII C7788 / C6688 / C5588ApeosPort C7070 / C6570 / C5570 / C4570 / C3570 / C3070 / C2570ApeosPort-VII C4422 / C3322ApeosPort-VII C4421ApeosPort C2360 / C2060ApeosPort-VII CP4422 / CP3322ApeosPort Print C5570 / C4570ApeosPort 4570 / 3570ApeosPort 3060 / 2560 / 1860ApeosPort-VII 5022ApeosPort-VII P4022DocuCentre-VI C2264DocuPrint CP500 dJVNによると、富士ゼロックス株式会社が提供する複合機およびプリンタには、サービス運用妨害(DoS)の脆弱性が存在し、当該製品にアクセス可能な第三者によって細工されたコマンドを送信されると異常終了する可能性がある。復帰させるには、当該製品の設置場所での電源ボタンによる再起動が必要となる。JVNでは、複合機については開発者が提供する情報をもとに、カストマーエンジニアによる対応か、またはリモート保守回線を使用しダウンロードしたうえでファームウェアの最新版へのアップデートを、プリンタについては開発者が提供する情報をもとに、ファームウェアを最新版にアップデートするよう呼びかけている。なお、開発者によると該当する製品に対するファームウェアは段階的に提供予定となっている。ファームウェアのアップデート以外では、ファイアウォール等で保護されたネットワーク内の設置、インターネットからのアクセスを許可する場合は信頼できるIPアドレスのみアクセスを許可する、リモート接続が必要な場合はVPNなどのセキュアな接続を使用することで本脆弱性の影響を軽減することが可能。
