Kritische Lecks in vielen Lexmark-Druckern
Kritische Lecks in vielen Lexmark-Druckern
(Quelle: Lexmark)
13. März 2023 -
In zahlreichen Geräten von Lexmark klaffen erneut Sicherheitslücken mit grösstenteils kritischem Risiko. Firmware Updates stehen bereit.
Verschiedene Drucker für den Geschäftseinsatz von Lexmark leiden unter teils kritischen Schwachstellen. Angreifer erlangen teils ohne Authentifizierung Zugriff auf die Geräte und können beliebigen Code einschleusen und ausführen. Lexmark nennt insgesamt acht Sicherheitslücken, davon sechs als kritisch eingestuft, und hat dazu einzelne Warnmeldungen veröffentlicht.
Bei CVE-2023-26070 handelt es sich um ein SNMP-Leck, das eine riesige Anzahl auch ältere Lexmark-Geräte betrifft. CVE-2023-26069 ist eine Schwachstelle in der Web API neuerer Devices – hier fällt die Liste der betroffenen Modelle deutlich kürzer aus. Bei CVE-2023-26066, CVE-2023-26065 und CVE-2023-26064 geht es um Lücken im Postscript-Interpreter, ebenso bei CVE-2023-26063. Alle bisher genannten Lecks gelten mit einem CVSS Score von 9.0 als sehr kritisch. Auch die beiden restlichen Sicherheitslücken, CVE-2023-26068 (Embedded Webserver in neueren Druckern) und CVE-2023-26067 (Privilege-Eskalation auf bereits kompromittierten Geräten) bergen mit CVSS Scores von 8.5 beziehungsweise 8.0 ein hohes Risiko.
Es wird empfohlen, die entsprechenden Firmware Updates von Lexmark umgehend aufzuspielen. Dazu nutzt man am besten die Suche nach dem jeweiligen Gerät auf der Support-Website des Herstellers. Lexmark hat im übrigen schon Ende Januar 2023 vor anderen Schwachstellen gewarnt ("Swiss IT Magazine" berichtete). (ubi)
Bei CVE-2023-26070 handelt es sich um ein SNMP-Leck, das eine riesige Anzahl auch ältere Lexmark-Geräte betrifft. CVE-2023-26069 ist eine Schwachstelle in der Web API neuerer Devices – hier fällt die Liste der betroffenen Modelle deutlich kürzer aus. Bei CVE-2023-26066, CVE-2023-26065 und CVE-2023-26064 geht es um Lücken im Postscript-Interpreter, ebenso bei CVE-2023-26063. Alle bisher genannten Lecks gelten mit einem CVSS Score von 9.0 als sehr kritisch. Auch die beiden restlichen Sicherheitslücken, CVE-2023-26068 (Embedded Webserver in neueren Druckern) und CVE-2023-26067 (Privilege-Eskalation auf bereits kompromittierten Geräten) bergen mit CVSS Scores von 8.5 beziehungsweise 8.0 ein hohes Risiko.
Es wird empfohlen, die entsprechenden Firmware Updates von Lexmark umgehend aufzuspielen. Dazu nutzt man am besten die Suche nach dem jeweiligen Gerät auf der Support-Website des Herstellers. Lexmark hat im übrigen schon Ende Januar 2023 vor anderen Schwachstellen gewarnt ("Swiss IT Magazine" berichtete). (ubi)