BULLETIN DE SÉCURITÉ XEROX XRX07-001
Transcription
BULLETIN DE SÉCURITÉ XEROX XRX07-001
Bulletin de sécurité Xerox XRX07-001 Version du document : 1.0 Dernière mise à jour : 07.06.29 BULLETIN DE SÉCURITÉ XEROX XRX07-001 Le serveur ESS/contrôleur de réseau présente des vulnérabilités qui, si elles sont exploitées, risquent d'entraîner l'exécution de logiciels arbitraires, la fabrication de faux certificats numériques ou le lancement d'attaques par refus de service. La solution logicielle ci-après (patch P30) et les instructions correspondantes sont fournies pour les produits énumérés. Ce patch est conçu pour être installé par le client. Suivre les procédures ci-après pour installer le patch et protéger le périphérique contre les attaques potentielles sur le réseau. Cette solution logicielle est compressée dans une archive de 990 Ko et se télécharge depuis le lien suivant : http://www.xerox.com/downloads/usa/en/c/cert_P30_ESS_Network_Controller_Patch.zip Les clients soucieux de pallier cette vulnérabilité dans les produits énumérés plus bas sont priés d'utiliser d'abord les instructions jointes, pour vérifier la version de leur logiciel système, afin d'installer le patch. Dans le cas des produits de la série WC/WCP 2xx, le logiciel système *.60.22.000 ou version ultérieure (version ESS/Contrôleur 040.022.*1031 ou ultérieure) contient déjà le patch, dont l'installation n'est donc pas nécessaire. Si la version n'est pas celle qui est indiquée plus haut, ni une version ultérieure, lire les instructions d'installation pour connaître la marche à suivre. En outre, dans le cas d'un WorkCentre® 7655/7665, si le logiciel système n'est pas la version 040.032.53080 ou ultérieure (version 040.022.*1031 ou ultérieure du contrôleur), contacter un représentant, pour passer à la version du logiciel système/contrôleur 040.032.53080, avant toute application du patch. Remarque : ce patch de sécurité est désigné sous l'appellation P30. Une fois le patch correctement installé, la version du contrôleur de réseau affiche cette appellation sous la forme de l'extension .P30 (par exemple : 40.010.#1172.P30). Encore une fois, dans le cas des produits de la série WC/WCP 2xx, le logiciel système *.60.22.000 ou version ultérieure (version ESS/Contrôleur 040.022.*1031 ou ultérieure) contient déjà le patch, dont l'installation n'est donc pas nécessaire. Situation Dans le cadre des efforts continuels de protection de ses utilisateurs, Xerox a découvert les vulnérabilités suivantes, documentées dans les conseils de sécurité Red Hat RHSA-2006:0695-12 pour OpenSSL : • • • • • Contrôle impropre de la limitation de zones adressables des entrées par les utilisateurs Traitement impropre des conditions d'erreur Traitement inadéquat des signatures numériques Validation impropre de la longueur de clé publique Négociation du protocole pair à pair non sécurisée Ces vulnérabilités se situent au niveau du code ESS/Contrôleur de réseau et pourraient permettre à un pirate informatique de contourner les sécurités d'authentification et,à distance, d'exécuter des logiciels , de falsifier des certificats ou de lancer des attaques par refus de service contre le périphérique. 701P47303 Page 1 / 5 Bulletin de sécurité Xerox XRX07-001 Version du document : 1.0 Dernière mise à jour : 07.06.29 S’il réussit, un pirate informatique pourrait effectuer des changements non autorisés dans la configuration du système. Les mots de passe client et utilisateur ne sont pas exposés. Produits concernés par ce patch : WorkCentre® WorkCentre® Pro 232 238 245 255 265 275 7655 7665 232 238 245 255 265 275 Solution Instructions d’installation Nom du fichier de patch : P30.dlm Ce patch peut s'installer sur vos systèmes comme l'indiquent les instructions ci-après. Résumé des versions et actions : • Déterminer la version du logiciel système ou du contrôleur de réseau • Déterminer les mises à niveau nécessaires • Mettre les périphériques à niveau, le cas échéant • Appliquer le patch, si nécessaire WC/WCP 232/238/245/255/265/275 1 Pour la version logicielle Logiciel système ou Contrôleur réseau *.27.24.000 040.010.#0930 à à 040.010.#1160 *.27.24.020 Prêt pour le patch ? Non 2 *.50.03.000 à *.50.03.009 040.010.#1172 à 040.010.#2250 Non 3 *.50.03.011 040.010.#2280 Non 4 *.27.24.015 Certification de critères communs *.39.24.001 Certification de critères communs 040.010.#1121 Non 040.010.#1123 Non 5 701P47303 Passer à la version *.60.17.000 Voir l'annexe A Voir la ligne 8 Le contrôleur de réseau/ESS affiche maintenant : - Passer à la version *.60.17.000 Voir l'annexe A Appeler un technicien pour passer à la version *.60.22.000 ou ultérieure Voir REMARQUE 1 ci-après Voir la ligne 8 - - 040.022.#1031 - - Voir REMARQUE 1 ci-après - Si le patch est appliqué, 040.022.#0115.P30 Étape suivante : Page 2 / 5 Patch : Bulletin de sécurité Xerox XRX07-001 Version du document : 1.0 Dernière mise à jour : 07.06.29 6 *.60.15.000 040.022.#0112 Non 7 *.60.17.000 Certification de critères communs *.60.17.000 à *.60.17.006 040.022.#0115 Oui 040.022.#0115 à 040.022.#1022 N/A *.60.17.008 *.60.22.000 et ultérieure 040.022.#1031 040.022.#1031 N/A N/A 8 9 10 Passer à la version *.60.22.000 ou ultérieure Voir l'annexe A Voir la remarque nº 2 ci-après - 040.022.#1031 - Si le patch est appliqué, 040.022.#0115.P30 Charger le patch P30 Ou Passer à la version *.60.22.000 ou ultérieure Voir l'annexe A fait fait - 040.022.#1031 - - REMARQUE 1 : si la version du logiciel système du périphérique est *.27.24.015 ou *.39.24.001, le périphérique est configuré pour la Certification de critères communs. Passer à la version x.60.17.000 et charger le patch P30 (ligne 7 cidessus), bien que le périphérique ne se trouve alors plus en configuration de Certification de critères communs. REMARQUE 2 : si le périphérique est équipé du logiciel système *.60.17.000, il est sur le point d'être configuré pour la Certification de critères communs. Charger le patch P30 si désiré, en sachant que le périphérique n'est alors plus en configuration de Certification de critères communs, une fois la certification terminée. WC 7655/7665 1 Pour la version logicielle Logiciel système ou Contrôleur réseau 040.032.50855 040.032.50855 à à 040.032.51030 040.032.51040 Prêt pour le patch ? Non 2 040.032.53080 040.032.53080 Oui 3 040.032.53080 Certification de critères communs 040.032.55030 et ultérieure 040.032.53080 Oui 040.032.55030 et ultérieure N/A 4 Étape suivante : Appeler un technicien, pour passer à la version 040.032.53080 Charger le patch P30 Voir REMARQUE 1 ci-après fait Patch : Charger le patch P30 Le contrôleur de réseau/ESS affiche maintenant : 040.032.53080.P30 - 040.032.53080.P30 - Si le patch est appliqué, 040.032.53080.P30 - - REMARQUE 1 : si la version du logiciel système du périphérique est 040.032.53080, le périphérique est configuré pour la Certification de critères communs. Le patch P30 peut être chargé (voir ligne 2 ci-dessus), mais le périphérique ne sera plus configuré pour la Certification de critères communs. Installer le patch Le patch doit être téléchargé. Le patch est disponible sous forme de fichier ZIP. Télécharger le fichier ZIP via l'adresse Web indiquée et extraire l'ensemble du fichier vers le bureau du système. Ne pas tenter d'ouvrir le fichier portant l'extension .DLM. Il s'agit du patch et ce fichier doit être installé en l'état sur le système multifonctions. 701P47303 Page 3 / 5 Bulletin de sécurité Xerox XRX07-001 Version du document : 1.0 Dernière mise à jour : 07.06.29 Méthodes d'installation du patch Ce patch (comme la plupart des logiciels) est conçu pour être installé par le client. Pour ce faire, plusieurs méthodes sont disponibles. - Envoyer un fichier de mise à niveau/patch au périphérique, au moyen de la page Web de la méthode Méthode de mise à niveau du logiciel machine. - Mettre à niveau/Installer le patch sur un seul périphérique, à l'aide de la commande LPR. - Mettre à niveau/Installer le patch sur plusieurs machines à l'aide d'un lot de commandes LPR. - Utiliser XDM et CenterWare Web pour envoyer des fichiers de mise à niveau/patch à plusieurs périphériques. Pour de plus amples informations sur les méthodes ci-dessus, consulter la rubrique de recommandations “How to Upgrade, Patch or Clone Xerox Multifunction Devices“ (Comment effectuer la mise à niveau, appliquer un patch ou cloner les périphériques multifonctions Xerox) à l'adresse http://www.office.xerox.com/support/dctips/dc06cc0410.pdf. Mise à niveau du logiciel machine 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située en haut de l’écran. 3) Sélectionner "Logiciel machine (mises à niveau)". 4) Entrer le nom d'utilisateur et le mot de passe du système. 5) Sous “Mise à niveau manuelle” sélectionner le bouton Parcourir puis le fichier P30.dlm. 6) Actionner le bouton "Installer logiciel". 7) Tous les modèles WCP impriment une feuille d'installation de patch et redémarrent automatiquement pour exécuter l'installation du patch. Le patch est installé lorsque l'extension .P30 est ajoutée au numéro de version du logiciel de contrôleur réseau (ESS). 701P47303 Page 4 / 5 Bulletin de sécurité Xerox XRX07-001 Version du document : 1.0 Dernière mise à jour : 07.06.29 Annexe A Obtention du logiciel système Pour obtenir les versions *.60.17.000, *.60.22.000 ou ultérieures du logiciel système : a) À l'aide d'un navigateur, se connecter au site www.xerox.com. b) Sélectionner le lien “Assistance et pilotes”. c) Sélectionner “Multifonctions”. d) Sélectionner “WorkCentre” ou “WorkCentre Pro”, en fonction du modèle. e) Repérer le lien correspondant au modèle WorkCentre concerné. f) Sélectionner “Pilotes et téléchargements”. g) Sélectionner le lien “Mise à niveau machines”. h) Sélectionner le lien “System software version XXX install instructions” (Instructions d'installation du logiciel système version XXX, XXX indiquant la version applicable du logiciel système, comme indiqué aux instructions d'installation qui précèdent) et imprimer ou enregistrer ces instructions. i) Sélectionner le lien “System Software Upgrade Version XXX” (Mise à niveau du logiciel système, version XXX, XXX indiquant la version applicable du logiciel système, comme indiqué aux instructions d'installation qui précèdent) et enregistrer le fichier sur l'ordinateur. j) Une fois les fichiers désirés téléchargés, les extraire sur le bureau de l'ordinateur. k) Passer en revue les instructions d'installation du logiciel système qui viennent d'être enregistrées. l) Mettre le périphérique à niveau. Limitation de responsabilité Les informations contenues dans le présent bulletin sont fournies "en l'état" et il n'est fait aucune garantie de quelque nature que ce soit. Xerox Corporation exclut toute garantie, expresse ou implicite y compris des garanties concernant la valeur marchande ou l’aptitude à répondre à une utilisation particulière. En aucun cas Xerox Corporation ne peut être tenu responsable d'aucun dommage résultant de l'utilisation ou de la non observation par l'utilisateur des informations fournies dans le présent bulletin, y compris en cas de perte de profits, de dommages directs ou indirects, accidentels, consécutifs ou spéciaux, même dans le cas où Xerox Corporation est informé de la possibilité de tels dommages. Certains États n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages secondaires, auquel cas la limitation qui précède ne s'applique pas. 701P47303 Page 5 / 5