Xerox Patches Dozens of Vulnerabilities in FreeFlow Print Server with April 2025 Security Update
2025/05/15 SecurityOnline — 2025年5月12日に Xerox が発表したのは、セキュリティ速報 XRX25-009 の公開と、Windows 10上で動作する FreeFlow Print Server v2 向けの、2025年4月のセキュリティ・パッチ・アップデートのリリースである。Xerox の主要プロダクション・プリンターである、iGen5 Press/Baltoro HF/Brenva HD などをサポートする、このアップデートは、数十の深刻な脆弱性に対処し、更新された OSS コンポーネントを統合し、強化された暗号化標準を導入するものだ。
2025年4月のセキュリティ・パッチには、以下の主要コンポーネントのアップデートが含まれている:
- OpenJDK Java 8 Update 452-b08
- Apache HTTP 2.4.63
- Apache Tomcat 6.0.45
- OpenSSL 3.4.0
- OpenSSH 9.9p1
- Firefox 137.0.2
このセキュリティ情報では、今回のリリースで修正された 40件以上の脆弱性 について記載されている。
- CVE-2025-21191/CVE-2025-26641/CVE-2025-26673
- CVE-2025-27477/CVE-2025-27732/CVE-2025-29809
- CVE-2024-9143/CVE-2024-12797/CVE-2024-13176 (OpenSSL)
このパッチにより、システム全体のセキュリティが強化されるが、特に SFTP 暗号化要件が厳格化されている。Xerox はユーザーに対して、「危殆化している暗号化アルゴリズムを使用している場合には、Xerox カラー印刷機への SFTP 接続が失敗する」と警告している。
SHA2 ハッシュと、AES 512 Bit 暗号化をサポートするアプリケーションのみが、正常に接続できるという。たとえば、Xear Flex アプリケーションを使用する場合には、安全な SFTP 機能を維持するために、最新バージョンにアップデートし、セキュリティ・プロファイルを High に設定する必要がある。
このパッチは、以下の方法で適用できる:
- USB/DVD メディア
- Windows Update
- FreeFlow Update Manager
その一方で Xerox は、Windows Update をダイレクトに使用するユーザーに注意を促している。同社は、「Microsoft からのセキュリティ・パッチを直接インストールすることは、FreeFlow プリント・サーバ・プラットフォーム上で、Xerox によるテストが行われていないためリスクを伴う」と指摘している。
サービス中断の可能性を軽減するために、Xerox が推奨するのは、パッチのインストール前にシステム・バックアップと Windows の復元ポイントを作成することだ。
Xerox FreeFlow Print Server v2 向けの、セキュリティ・パッチ・アップデートが公開されました。40件以上の深刻な脆弱性に対処し、更新された OSS コンポーネントを統合し、強化された暗号化標準を導入するものとのことです。ご利用のチームは、パッチ適用をお急ぎください。よろしければ、Xerox で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.