联想打印机漏洞
联想打印机漏洞
联想安全公告: LEN-98712、 LEN-98713、 LEN-98714、 LEN-99934
潜在影响: 拒绝服务、未授权访问、远程代码执行
严重性: 高
影响范围: 联想特有产品
CVE: CVE-2022-34886、CVE-2022-34887、CVE-2022-3429
摘要描述:
CVE-2022-34886联想打印机中使用的固件中发现远程代码执行漏洞,该漏洞可由远程用户通过脚本向服务端接口推送非法字符串,导致栈溢出。
CVE-2022-34887 普通用户无需进行管理员密码的验证即可直接操作和设置打印机配置信息,比如IP等。
CVE-2022-3429 联想打印机中使用的固件中发现拒绝服务漏洞,用户发送非法字符或畸形字符到开放端口,触发拒绝服务,导致显示错误并阻止打印机正常运行。
客户缓解策略(应采取哪些措施进行自我保护):
打印机型号、生产日期和对应的固件版本,请参考下表:
| # | 型号 | 生产日期 | 固件版本 |
|---|---|---|---|
| 1 | GM265DN | 2022.06之前 | 01.00.20N |
| 2 | GM265DN | 2022.07以后 | 01.17.00.03.00 |
| 3 | GM266DNS | 全部 | 02.06.00.04.00 |
| 4 | G263DNS | 全部 | 02.06.00.04.00 |
固件版本下载地址:
1, 生产日期2022.6月之前GM265DN型号打印机固件下载地址:https://lenovo-upload.oss-cn-beijing.aliyuncs.com/Firmwares/GM265DN_Firmwares_20221021093500.zip
2, 生产日期2022.7月之后GM265DN型号打印机固件下载地址:https://lenovo-upload.oss-cn-beijing.aliyuncs.com/Firmwares/GM265DN_Firmwares_20221021094824.zip
3, G263DNS型号固件下载地址:https://lenovo-upload.oss-cn-beijing.aliyuncs.com/Firmwares/G263DNS_Firmwares_Win_20221021095129.zip
4, GM266DNS型号固件下载地址:https://lenovo-upload.oss-cn-beijing.aliyuncs.com/Firmwares/GM266DNS_Firmwares_Win_20221021095419.zip
打印机固件升级过程中需要技术支持请通过 400 660 0900 与 LenovoImage 服务中心联系。
产品影响:
- Lenovo打印机 GM265DNS
- Lenovo打印机 G263DNS
- Lenovo打印机 GM266DNS
修订历史:
| 修订版本 | 日期 | 说明 |
|---|---|---|
| 1 | 2022-10-25 | 初始版本 |