BULLETIN DE SÉCURITÉ XEROX XRX07-001

Bulletin de sécurité Xerox XRX07-001
Version du document : 1.0
Dernière mise à jour : 07.06.29
BULLETIN DE SÉCURITÉ XEROX XRX07-001
Le serveur ESS/contrôleur de réseau présente des vulnérabilités qui, si elles sont exploitées, risquent
d'entraîner l'exécution de logiciels arbitraires, la fabrication de faux certificats numériques ou le lancement
d'attaques par refus de service.
La solution logicielle ci-après (patch P30) et les instructions correspondantes sont fournies pour les produits
énumérés. Ce patch est conçu pour être installé par le client. Suivre les procédures ci-après pour installer le
patch et protéger le périphérique contre les attaques potentielles sur le réseau.
Cette solution logicielle est compressée dans une archive de 990 Ko et se télécharge depuis le lien suivant :
http://www.xerox.com/downloads/usa/en/c/cert_P30_ESS_Network_Controller_Patch.zip
Les clients soucieux de pallier cette vulnérabilité dans les produits énumérés plus bas sont priés d'utiliser
d'abord les instructions jointes, pour vérifier la version de leur logiciel système, afin d'installer le patch. Dans
le cas des produits de la série WC/WCP 2xx, le logiciel système *.60.22.000 ou version ultérieure (version
ESS/Contrôleur 040.022.*1031 ou ultérieure) contient déjà le patch, dont l'installation n'est donc pas
nécessaire.
Si la version n'est pas celle qui est indiquée plus haut, ni une version ultérieure, lire les instructions
d'installation pour connaître la marche à suivre. En outre, dans le cas d'un WorkCentre® 7655/7665, si le
logiciel système n'est pas la version 040.032.53080 ou ultérieure (version 040.022.*1031 ou ultérieure du
contrôleur), contacter un représentant, pour passer à la version du logiciel système/contrôleur
040.032.53080, avant toute application du patch.
Remarque : ce patch de sécurité est désigné sous l'appellation P30. Une fois le patch correctement installé,
la version du contrôleur de réseau affiche cette appellation sous la forme de l'extension .P30 (par exemple :
40.010.#1172.P30). Encore une fois, dans le cas des produits de la série WC/WCP 2xx, le logiciel système
*.60.22.000 ou version ultérieure (version ESS/Contrôleur 040.022.*1031 ou ultérieure) contient déjà le patch,
dont l'installation n'est donc pas nécessaire.
Situation
Dans le cadre des efforts continuels de protection de ses utilisateurs, Xerox a découvert les vulnérabilités
suivantes, documentées dans les conseils de sécurité Red Hat RHSA-2006:0695-12 pour OpenSSL :
•
•
•
•
•
Contrôle impropre de la limitation de zones adressables des entrées par les utilisateurs
Traitement impropre des conditions d'erreur
Traitement inadéquat des signatures numériques
Validation impropre de la longueur de clé publique
Négociation du protocole pair à pair non sécurisée
Ces vulnérabilités se situent au niveau du code ESS/Contrôleur de réseau et pourraient permettre à un
pirate informatique de contourner les sécurités d'authentification et,à distance, d'exécuter des logiciels , de
falsifier des certificats ou de lancer des attaques par refus de service contre le périphérique.
701P47303
Page 1 / 5
Bulletin de sécurité Xerox XRX07-001
Version du document : 1.0
Dernière mise à jour : 07.06.29
S’il réussit, un pirate informatique pourrait effectuer des changements non autorisés dans la configuration du
système. Les mots de passe client et utilisateur ne sont pas exposés.
Produits concernés par ce patch :
WorkCentre® WorkCentre® Pro
232
238
245
255
265
275
7655
7665
232
238
245
255
265
275
Solution
Instructions d’installation
Nom du fichier de patch : P30.dlm
Ce patch peut s'installer sur vos systèmes comme l'indiquent les instructions ci-après.
Résumé des versions et actions :
• Déterminer la version du logiciel système ou du contrôleur de réseau
• Déterminer les mises à niveau nécessaires
• Mettre les périphériques à niveau, le cas échéant
• Appliquer le patch, si nécessaire
WC/WCP 232/238/245/255/265/275
1
Pour la version logicielle
Logiciel système ou
Contrôleur réseau
*.27.24.000
040.010.#0930 à
à
040.010.#1160
*.27.24.020
Prêt
pour le
patch ?
Non
2
*.50.03.000
à
*.50.03.009
040.010.#1172 à
040.010.#2250
Non
3
*.50.03.011
040.010.#2280
Non
4
*.27.24.015
Certification
de critères
communs
*.39.24.001
Certification
de critères
communs
040.010.#1121
Non
040.010.#1123
Non
5
701P47303
Passer à la
version
*.60.17.000
Voir l'annexe A
Voir la ligne 8
Le contrôleur de
réseau/ESS affiche
maintenant :
-
Passer à la
version
*.60.17.000
Voir l'annexe A
Appeler un
technicien pour
passer à la
version
*.60.22.000 ou
ultérieure
Voir
REMARQUE 1
ci-après
Voir la ligne 8
-
-
040.022.#1031
-
-
Voir
REMARQUE 1
ci-après
-
Si le patch est appliqué,
040.022.#0115.P30
Étape suivante :
Page 2 / 5
Patch :
Bulletin de sécurité Xerox XRX07-001
Version du document : 1.0
Dernière mise à jour : 07.06.29
6
*.60.15.000
040.022.#0112
Non
7
*.60.17.000
Certification
de critères
communs
*.60.17.000
à
*.60.17.006
040.022.#0115
Oui
040.022.#0115 à
040.022.#1022
N/A
*.60.17.008
*.60.22.000
et ultérieure
040.022.#1031
040.022.#1031
N/A
N/A
8
9
10
Passer à la
version
*.60.22.000 ou
ultérieure
Voir l'annexe A
Voir la remarque
nº 2 ci-après
-
040.022.#1031
-
Si le patch est appliqué,
040.022.#0115.P30
Charger le patch
P30
Ou
Passer à la
version
*.60.22.000 ou
ultérieure
Voir l'annexe A
fait
fait
-
040.022.#1031
-
-
REMARQUE 1 : si la version du logiciel système du périphérique est *.27.24.015 ou *.39.24.001, le périphérique est
configuré pour la Certification de critères communs. Passer à la version x.60.17.000 et charger le patch P30 (ligne 7 cidessus), bien que le périphérique ne se trouve alors plus en configuration de Certification de critères communs.
REMARQUE 2 : si le périphérique est équipé du logiciel système *.60.17.000, il est sur le point d'être configuré pour la
Certification de critères communs. Charger le patch P30 si désiré, en sachant que le périphérique n'est alors plus en
configuration de Certification de critères communs, une fois la certification terminée.
WC 7655/7665
1
Pour la version logicielle
Logiciel système ou
Contrôleur réseau
040.032.50855 040.032.50855 à
à
040.032.51030
040.032.51040
Prêt pour
le patch ?
Non
2
040.032.53080
040.032.53080
Oui
3
040.032.53080
Certification de
critères
communs
040.032.55030
et ultérieure
040.032.53080
Oui
040.032.55030 et
ultérieure
N/A
4
Étape
suivante :
Appeler un
technicien,
pour passer à
la version
040.032.53080
Charger le
patch P30
Voir
REMARQUE 1
ci-après
fait
Patch :
Charger le
patch P30
Le contrôleur de
réseau/ESS affiche
maintenant :
040.032.53080.P30
-
040.032.53080.P30
-
Si le patch est appliqué,
040.032.53080.P30
-
-
REMARQUE 1 : si la version du logiciel système du périphérique est 040.032.53080, le périphérique est
configuré pour la Certification de critères communs. Le patch P30 peut être chargé (voir ligne 2 ci-dessus),
mais le périphérique ne sera plus configuré pour la Certification de critères communs.
Installer le patch
Le patch doit être téléchargé. Le patch est disponible sous forme de fichier ZIP. Télécharger le fichier ZIP via
l'adresse Web indiquée et extraire l'ensemble du fichier vers le bureau du système. Ne pas tenter d'ouvrir le
fichier portant l'extension .DLM. Il s'agit du patch et ce fichier doit être installé en l'état sur le système
multifonctions.
701P47303
Page 3 / 5
Bulletin de sécurité Xerox XRX07-001
Version du document : 1.0
Dernière mise à jour : 07.06.29
Méthodes d'installation du patch
Ce patch (comme la plupart des logiciels) est conçu pour être installé par le client. Pour ce faire, plusieurs
méthodes sont disponibles.
- Envoyer un fichier de mise à niveau/patch au périphérique, au moyen de la page Web de la méthode
Méthode de mise à niveau du logiciel machine.
- Mettre à niveau/Installer le patch sur un seul périphérique, à l'aide de la commande LPR.
- Mettre à niveau/Installer le patch sur plusieurs machines à l'aide d'un lot de commandes LPR.
- Utiliser XDM et CenterWare Web pour envoyer des fichiers de mise à niveau/patch à plusieurs
périphériques.
Pour de plus amples informations sur les méthodes ci-dessus, consulter la rubrique de
recommandations “How to Upgrade, Patch or Clone Xerox Multifunction Devices“ (Comment effectuer la
mise à niveau, appliquer un patch ou cloner les périphériques multifonctions Xerox) à l'adresse
http://www.office.xerox.com/support/dctips/dc06cc0410.pdf.
Mise à niveau du logiciel machine
1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du
système.
2) Sélectionner l'icône "Index" située en haut de l’écran.
3) Sélectionner "Logiciel machine (mises à niveau)".
4) Entrer le nom d'utilisateur et le mot de passe du système.
5) Sous “Mise à niveau manuelle” sélectionner le bouton Parcourir puis le fichier P30.dlm.
6) Actionner le bouton "Installer logiciel".
7) Tous les modèles WCP impriment une feuille d'installation de patch et redémarrent
automatiquement pour exécuter l'installation du patch. Le patch est installé lorsque l'extension .P30
est ajoutée au numéro de version du logiciel de contrôleur réseau (ESS).
701P47303
Page 4 / 5
Bulletin de sécurité Xerox XRX07-001
Version du document : 1.0
Dernière mise à jour : 07.06.29
Annexe A
Obtention du logiciel système
Pour obtenir les versions *.60.17.000, *.60.22.000 ou ultérieures du logiciel système :
a) À l'aide d'un navigateur, se connecter au site www.xerox.com.
b) Sélectionner le lien “Assistance et pilotes”.
c) Sélectionner “Multifonctions”.
d) Sélectionner “WorkCentre” ou “WorkCentre Pro”, en fonction du modèle.
e) Repérer le lien correspondant au modèle WorkCentre concerné.
f) Sélectionner “Pilotes et téléchargements”.
g) Sélectionner le lien “Mise à niveau machines”.
h) Sélectionner le lien “System software version XXX install instructions” (Instructions d'installation du
logiciel système version XXX, XXX indiquant la version applicable du logiciel système, comme
indiqué aux instructions d'installation qui précèdent) et imprimer ou enregistrer ces instructions.
i) Sélectionner le lien “System Software Upgrade Version XXX” (Mise à niveau du logiciel système,
version XXX, XXX indiquant la version applicable du logiciel système, comme indiqué aux
instructions d'installation qui précèdent) et enregistrer le fichier sur l'ordinateur.
j) Une fois les fichiers désirés téléchargés, les extraire sur le bureau de l'ordinateur.
k) Passer en revue les instructions d'installation du logiciel système qui viennent d'être enregistrées.
l) Mettre le périphérique à niveau.
Limitation de responsabilité
Les informations contenues dans le présent bulletin sont fournies "en l'état" et il n'est fait aucune garantie de
quelque nature que ce soit. Xerox Corporation exclut toute garantie, expresse ou implicite y compris des
garanties concernant la valeur marchande ou l’aptitude à répondre à une utilisation particulière. En aucun
cas Xerox Corporation ne peut être tenu responsable d'aucun dommage résultant de l'utilisation ou de la non
observation par l'utilisateur des informations fournies dans le présent bulletin, y compris en cas de perte de
profits, de dommages directs ou indirects, accidentels, consécutifs ou spéciaux, même dans le cas où Xerox
Corporation est informé de la possibilité de tels dommages. Certains États n'autorisent pas l'exclusion ou la
limitation de responsabilité pour les dommages secondaires, auquel cas la limitation qui précède ne
s'applique pas.
701P47303
Page 5 / 5