Zum Hauptinhalt gehen

Sicherheitsrelevante Information:

Mehrere Schwachstellen in unseren Produkten

Bei den Multifunktionsgeräten und Druckern von TA Triumph-Adler wurden mehrere Sicherheitslücken festgestellt. Im Folgenden finden Sie einen Überblick zu den Schwachstellen und deren Behebung. 

I. Übersicht: Sicherheitslücken & Auswirkungen

  • Apache Commons FileUpload (CVE-2013-0248, CVE-2014-0050, CVE-2016-1000031, CVE-2016-3092, CVE-2023-24998): Diese Open-Source-Software wird ausschließlich zum Hochladen von Zertifikaten über HyPAS Device Online verwendet; es besteht jedoch die Möglichkeit, dass HyPAS missbräuchlich genutzt werden könnte, um Dateien in den Speicher des Geräts hochzuladen.
     
  • Libpng (CVE-2015-8126, CVE-2015-8472, CVE-2016-3751, CVE-2017-12652): Das Drucken einer bestimmten PNG-Datei löst einen Systemfehler aus.
     
  • Zlib: Heap-basierter Pufferüberlauf beim Lesen / Überlauf in `inflate()` bei der Verarbeitung großer gzip-Header-Zusatzfelder (CVE-2022-37434). Undefiniertes Verhalten in `inflateMark()` aufgrund von Linksverschiebungen negativer Ganzzahlen (CVE-2016-9842).
     
  • libxml2 (CVE-2022-40303, CVE-2022-40304, CVE-2023-29469): Das Senden einer speziell gestalteten XPS-Datei an das Gerät führt zu einem Systemfehler.
     
  • Oracle Java (CVE-2024-20952): Es besteht die Gefahr von Angriffen, die zu unbefugten Zugriffen auf Daten führen können. Wenn die TLS-Einstellung des Geräts auf 1.3 gesetzt wird, können die Sicherheitsrisiken gemindert werden.
Zum Zeitpunkt der Veröffentlichung dieser Mitteilung liegen uns keine Hinweise auf Angriffe vor, bei denen diese Sicherheitslücken ausgenutzt wurden.

II. Maßnahmen

TA Triumph-Adler stellen eine Firmware zur Verfügung, die diese Sicherheitslücken behebt. Bis das Firmware-Update auf Ihren Gerät durchgeführt wurde wird der Einsatz von Firewalls und anderen IT-Sicherheitsmaßnahmen empfohlen. Bitte wenden Sie sich bei Bedarf an Ihren direkten Ansprechpartner von TA, um Informationen zum Firmware-Update zu erhalten.