Page 1/9 BULLETIN DE SÉCURITÉ XEROX XRX04-005
Transcription
Page 1/9 BULLETIN DE SÉCURITÉ XEROX XRX04-005
Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 BULLETIN DE SÉCURITÉ XEROX XRX04-005 Une vulnérabilité du contrôleur de stockage/contrôleur réseau peut éventuellement permettre un accès non autorisé. La solution logicielle ci-après ainsi que les instructions correspondantes sont fournies afin de protéger les données confidentielles d'attaques via le Web, pour les produits énumérés. La solution logicielle est compressée dans un fichier zip de 8,7 Mo et peut être téléchargée en utilisant le lien suivant du site Web Xerox : http://www.xerox.com/downloads/usa/en/c/cert_XRX04A_patch.zip Situation Une vulnérabilité dans le code d'interprétation des fichiers PostScript permet un accès non autorisé à la structure de répertoires du contrôleur réseau. Cette vulnérabilité peut être exploitée au moyen d'un fichier PostScript créé à cet effet pour naviguer dans les répertoires. Un pirate informatique pourrait récupérer le fichier de mot de passe crypté correspondant au périphérique, puis utiliser des outils de cassage de code. S'il réussit, le pirate pourrait obtenir un accès complet au périphérique. Les mots de passe client/utilisateur ne sont pas exposés. Le mot de passe crypté de configuration du périphérique peut aussi être récupéré dans le cas où le pirate est physiquement présent au niveau de la machine pour dérober le fichier de mot de passe. Produits concernés : Document Centre 220 230 240 255 265 332 340 420 425 426 Document Centre 430 432 440 460 470 480 490 535 545 555 701P42354 Page 1/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 Processus d'installation du patch de structure des répertoires PS Mise à jour : 6 août 2004 Un patch est disponible pour résoudre un type de problème lié à la structure des répertoires des systèmes multifonctions Document Centre. L'installation du patch est nécessaire uniquement si la version du serveur de stockage ou du logiciel de contrôleur réseau du système multifonction considéré figure dans la liste fournie. Le patch doit être téléchargé depuis le lien fourni dans le présent bulletin. Le patch est disponible sous forme de fichier ZIP. Télécharger le fichier ZIP via l'adresse Web indiquée et extraire l'ensemble du fichier vers le bureau du système. NE PAS TENTER D'OUVRIR LE FICHIER PORTANT L'EXTENSION .TGZ ou DLM. Il s'agit du patch et ce fichier doit être installé en l'état sur le système multifonctions. Section 1 - Instructions pour Document Centre 535/545/555. P9 ......................................................................2 Section 3 - Instructions pour Document Centre 460/470/480/490. P9 ...............................................................3 Section 4 - Instructions pour Document Centre 420/425/426/430/432/440. P9.................................................4 Section 5 - Instructions pour Document Centre 240/255/265. P9 ......................................................................5 Section 6 - Instructions pour Document Centre 220/230/332/340. P12 .............................................................7 Annexe A - Activation de LPD, impression via le port 515 .................................................................................7 Section 1 - Instructions pour Document Centre 535/545/555. P9 Nom du fichier patch : PS_traversal_DC240-265_420-555.tgz Ce patch est nécessaire uniquement si le système Document Centre considéré utilise une version de contrôleur réseau parmi les suivantes : Version 19.10.047.1 à 19.12.19.1 ou logiciel de base version 14.52.000 à 27.18.014 Si le périphérique considéré utilise une version supérieure de contrôleur réseau ou de logiciel de base, il n'est pas nécessaire d'installer le patch. Vérification de la version installée du logiciel de contrôleur réseau Pour connaître la version du logiciel de contrôleur réseau, imprimer une page de configuration ou afficher le numéro de version sur l'interface client Web. Pour imprimer une page de configuration depuis l'interface utilisateur locale de la machine : 1) Actionner le bouton "Etat machine" 2) Sélectionner "Imprimer une page de configuration". 3) Rechercher le numéro de version du logiciel de contrôleur réseau Si la version du logiciel de contrôleur réseau du système multifonctions considéré est inférieure à 19.12.19 (ou la version du logiciel de base inférieure à 27.18.016), il est alors nécessaire d'installer le patch. Pour afficher la version depuis l'interface client Web : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit. 3) Choisir "Configuration" 4) Rechercher l'emplacement où est affichée la version du logiciel de contrôleur réseau. Si la version du logiciel de contrôleur réseau du système multifonctions considéré est inférieure à 19.12.019 (ou la version du logiciel de base inférieure à 27.18.016), il est alors nécessaire d'installer le patch. Installer le patch NE PAS ESSAYER D'OUVRIR LE PATCH CAR CELA POURRAIT ENDOMMAGER LE FICHIER. Ce patch peut être installé de deux façons différentes pour ce modèle. 1) Méthode LPR. 2) Méthode de mise à niveau du logiciel machine. 701P42354 Page 2/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 Méthode LPR pour Windows NT, 2000, ou XP Cette méthode nécessite d'activer le protocole LPR sur le système. Vérifier sur la page de configuration que le protocole est activé. Ce protocole peut être activé via l'interface utilisateur locale ou via l'interface Web. Voir l'Annexe A pour de plus amples informations. 1) Ouvrir une invite de commande DOS. Pour cela, cliquer sur l'icône Windows "Démarrer" puis sur "Exécuter". Saisir "cmd" et appuyer sur <Entrer>. 2) Envoyer le fichier patch au moyen de la commande : lpr –S <printer_ip> –P lp PS_traversal_DC240-265_420-555.tgz 3) Le système Document Centre 535/545/555 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Mise à niveau du logiciel machine 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit. 3) Sélectionner "Logiciel machine (mises à niveau)". 4) Entrer le nom d'utilisateur et le mot de passe du système. 5) Sous l'option "Mise à niveau manuelle", actionner le bouton Parcourir et sélectionner le fichier, PS_traversal_DC240-265_420-555.tgz. 6) Actionner le bouton "Installer logiciel". 7) Le système Document Centre 535/545/555 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Section 3 - Instructions pour Document Centre 460/470/480/490. P9 Nom du fichier patch : PS_traversal_DC240-265_420-555.tgz Ce patch est nécessaire uniquement si le système Document Centre considéré utilise une version de contrôleur réseau parmi les suivantes : Version 19.01.037 à 19.05.519 ou version 19.5.902 à 19.5.912. Si le périphérique considéré utilise la version 19.5.521 ou une version supérieure, il n'est pas nécessaire d'installer le patch. Si la version de contrôleur réseau du système est ANTÉRIEURE, alors ce patch n'est pas utilisable. Dans ce cas, le système doit être mis à niveau au moyen d'une version de logiciel plus récente, prenant en charge ou incluant le patch. Vérification de la version installée du logiciel de contrôleur réseau Pour connaître la version du logiciel de contrôleur réseau, imprimer une page de configuration ou afficher le numéro de version sur l'interface client Web. Pour imprimer une page de configuration depuis l'interface utilisateur locale de la machine : 1) Appuyer sur la touche Accès 2) Saisir le mot de passe admin pour la machine 3) Sélectionner "Réglages système" 4) Choisir "Page de configuration" 5) Sélectionner "Imprimer une page de configuration" 6) Sélectionner "Fermer" 7) Sélectionner "Quitter" 8) Rechercher le numéro de version du logiciel de contrôleur réseau Si le périphérique considéré utilise la version 19.5.521 ou une version supérieure de contrôleur réseau, il n'est pas nécessaire d'installer le patch. Pour afficher la version depuis l'interface client Web : 701P42354 Page 3/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit 3) Choisir "Configuration" 4) Rechercher l'emplacement où est affichée la version du logiciel de contrôleur réseau. Si le périphérique considéré utilise la version 19.5.521 ou une version supérieure de contrôleur réseau, il n'est pas nécessaire d'installer le patch. Installer le patch NE PAS ESSAYER D'OUVRIR LE PATCH CAR CELA POURRAIT ENDOMMAGER LE FICHIER. Ce patch peut être installé de deux façons différentes pour ce modèle. 1) Méthode LPR 2) Mise à niveau du logiciel machine Méthode LPR pour Windows NT, 2000, ou XP Cette méthode nécessite d'activer le protocole LPR sur le système. Vérifier sur la page de configuration que le protocole est activé. Ce protocole peut être activé via l'interface utilisateur locale ou via l'interface Web. Voir l'Annexe A pour de plus amples informations. 4) Ouvrir une invite de commande DOS. Pour cela, cliquer sur l'icône Windows "Démarrer" puis sur "Exécuter". Saisir "cmd" et appuyer sur <Entrer>. 5) Envoyer le fichier patch au moyen de la commande : lpr –S <printer_ip> –P lp PS_traversal_DC240-265_420-555.tgz 6) Le système Document Centre 460/470/480/490 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Mise à niveau du logiciel machine 8) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 9) Sélectionner l'icône "Index" située dans le coin supérieur droit. 10) Sélectionner "Logiciel machine (mises à niveau)". 11) Entrer le nom d'utilisateur et le mot de passe du système. 12) Sous l'option "Mise à niveau manuelle", actionner le bouton Parcourir et sélectionner le fichier, PS_traversal_DC240-265_420-555.tgz. 13) Actionner le bouton "Installer logiciel". 14) Le système Document Centre 460/470/480/490 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Section 4 - Instructions pour Document Centre 420/425/426/430/432/440. P9 Nom du fichier patch : PS_traversal_DC240-265_420-555.tgz Ce patch est nécessaire uniquement si le système Document Centre considéré utilise l'une des versions de logiciel de serveur de stockage ci-dessous : Document Centre 420/432/440 avec une version de logiciel de serveur de stockage comprise entre 2.1.2 et 2.3.19, ou Document Centre 425/432/440 avec une version de logiciel de serveur de stockage comprise entre 3.0.5.4 et 3.2.29, ou Document Centre 430 avec une version de logiciel de serveur de stockage comprise entre 3.3.24 et 3.3.29. Si le périphérique considéré utilise une version supérieure, il n'est pas nécessaire d'installer le patch. 701P42354 Page 4/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 Vérifier la version existante du logiciel de serveur de stockage Pour connaître la version du logiciel de serveur de stockage, imprimer une page de configuration ou afficher le numéro de version sur l'interface client Web. Pour imprimer une page de configuration depuis l'interface utilisateur locale de la machine : 1) Actionner le bouton "Etat machine" 2) Sélectionner "Imprimer une page de configuration" 3) Rechercher le numéro de version du logiciel de contrôleur réseau Si la version de logiciel de serveur de stockage du système multifonctions considéré est inférieure à 2.3.20 (pour les systèmes équipés d'un logiciel 2.x.x), ou inférieure à 3.2.30 (pour les systèmes équipés d'un logiciel 3.2.x), ou inférieure à 3.3.30 (pour les systèmes équipés d'un logiciel 3.3.x), il est alors nécessaire d'installer le patch. Pour afficher la version depuis l'interface client Web : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit 3) Sélectionner "Profil du périphérique". 4) Rechercher l'emplacement où est affichée la version du logiciel de serveur de stockage. Si la version de logiciel de serveur de stockage du système multifonctions considéré est inférieure à 2.3.20 (pour les systèmes équipés d'un logiciel 2.x.x), ou inférieure à 3.2.30 (pour les systèmes équipés d'un logiciel 3.x.x), ou inférieure à 3.3.30 (pour les systèmes équipés d'un logiciel 3.3.x), il est alors nécessaire d'installer le patch. Installer le patch NE PAS ESSAYER D'OUVRIR LE PATCH CAR CELA POURRAIT ENDOMMAGER LE FICHIER. Méthode LPR pour Windows NT, 2000, ou XP Cette méthode nécessite d'activer le protocole LPD sur le système. Vérifier sur la page de configuration que le protocole LPD est activé. Ce protocole peut être activé via l'interface utilisateur locale ou via l'interface Web. Voir l'Annexe A pour de plus amples informations. 1) Ouvrir une invite de commande DOS. Pour cela, cliquer sur l'icône Windows "Démarrer" puis sur "Exécuter". Saisir "cmd" et appuyer sur <Entrer>. 2) Envoyer le fichier patch au moyen de la commande : lpr –S <printer_ip> –P lp PS_traversal_DC240-265_420-555.tgz 3) Arrêter le système, puis le redémarrer soit en actionnant le bouton de mise hors tension, soit depuis l'interface client Web*. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. *Pour redémarrer le système depuis l'interface client Web : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'onglet "État" 3) Actionner le bouton Redémarrer 4) Entrer le nom d'utilisateur admin et le mot de passe du système. 5) Confirmer le redémarrage. Section 5 - Instructions pour Document Centre 240/255/265. P9 Nom du fichier patch : PS_traversal_DC240-265_420-555.tgz Ce patch est nécessaire uniquement si le système Document Centre considéré utilise une version de contrôleur réseau parmi les suivantes : version 18.6.05 à 18.6.96 Si le périphérique considéré utilise une version supérieure, il n'est pas nécessaire d'installer le patch. Remarque : il n'existe pas de patch pour les versions 17.4.10 à 17.9.34 701P42354 Page 5/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 Vérification de la version installée du logiciel de contrôleur réseau Pour connaître la version du logiciel de contrôleur réseau, imprimer une page de configuration ou afficher le numéro de version sur l'interface client Web. Pour imprimer une page de configuration depuis l'interface utilisateur locale de la machine : 1) Appuyer sur la touche Accès 2) Saisir le mot de passe admin pour la machine 3) Sélectionner "Réglages système" 4) Choisir "Page de configuration" 5) Sélectionner "Imprimer une page de configuration" 6) Sélectionner "Fermer" 7) Sélectionner "Quitter" 8) Rechercher le numéro de version du logiciel de contrôleur réseau Si le numéro de version du logiciel de contrôleur réseau du système multifonctions considéré est compris entre 18.6.05 et 18.6.96, il est nécessaire d'installer le patch. Si le numéro de version du logiciel de contrôleur réseau du système multifonctions considéré est compris entre 17.4.10 et 17.9.34, ne pas installer le patch. Aucun patch n'est disponible pour cette version. Pour afficher la version depuis l'interface client Web : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit 3) Choisir "Configuration" 4) Rechercher l'emplacement où est affichée la version du logiciel de contrôleur réseau. Si le numéro de version du logiciel de contrôleur réseau du système multifonctions considéré est compris entre 18.6.05 et 18.6.96, il est nécessaire d'installer le patch. Si le numéro de version du logiciel de contrôleur réseau du système multifonctions considéré est compris entre 17.4.10 et 17.9.34, ne pas installer le patch. Aucun patch n'est disponible pour cette version. Installer le patch NE PAS ESSAYER D'OUVRIR LE PATCH CAR CELA POURRAIT ENDOMMAGER LE FICHIER. Ce patch peut être installé de deux façons différentes pour ce modèle. 1) Méthode LPR 2) Mise à niveau du logiciel machine Méthode LPR pour Windows NT, 2000, ou XP Cette méthode nécessite d'activer le protocole LPD sur le système. Vérifier sur la page de configuration que le protocole LPD est activé. Ce protocole peut être activé via l'interface utilisateur locale ou via l'interface Web. Voir l'Annexe A pour de plus amples informations. 1) Ouvrir une invite de commande DOS. Pour cela, cliquer sur l'icône Windows "Démarrer" puis sur "Exécuter". Saisir "cmd" et appuyer sur <Entrer>. 2) Envoyer le fichier patch au moyen de la commande : lpr –S <printer_ip> –P lp PS_traversal_DC240-265_420-555.tgz 3) Le système Document Centre 460/470/480/490 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Mise à niveau du logiciel machine 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit. 3) Sélectionner "Logiciel machine (mises à niveau)". 4) Entrer le nom d'utilisateur et le mot de passe du système. 5) Sous l'option "Mise à niveau manuelle", actionner le bouton Parcourir et sélectionner le fichier, PS_traversal_DC240-265_420-555.tgz. 701P42354 Page 6/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 6) Actionner le bouton "Installer logiciel". Le système Document Centre 240/255/265 redémarre automatiquement afin d'installer le patch. Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Section 6 - Instructions pour Document Centre 220/230/332/340. P12 Nom du fichier patch : PS_traversal_DC220-340.dlm Ce patch est nécessaire uniquement si le système Document Centre considéré utilise l'une des versions de logiciel de serveur de stockage ci-dessous : Version 1.12.08 à 1.12.85 Si le périphérique considéré utilise la version 1.12.86 ou une version supérieure, il n'est pas nécessaire d'installer le patch. Vérifier la version existante du logiciel de serveur de stockage Pour connaître la version du logiciel de serveur de stockage, imprimer une page de configuration ou afficher le numéro de version sur l'interface client Web. Pour imprimer une page de configuration depuis l'interface utilisateur locale de la machine : 1) Actionner le bouton "Etat machine" 2) Sélectionner "Imprimer une page de configuration" 3) Rechercher le numéro de version du logiciel de contrôleur réseau Si la version de logiciel de serveur de stockage du système multifonctions considéré est inférieure à 1.12.86, il est nécessaire d'installer le patch. Pour afficher la version depuis l'interface client Web : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index des périphériques" située dans le coin supérieur droit 3) Sélectionner "Profil du périphérique". 4) Rechercher l'emplacement où est affichée la version du logiciel de serveur de stockage. Si la version de logiciel de serveur de stockage du système multifonctions considéré est inférieure à 1.12.86, il est nécessaire d'installer le patch. Installer le patch NE PAS ESSAYER D'OUVRIR LE PATCH CAR CELA POURRAIT ENDOMMAGER LE FICHIER. Méthode LPR pour Windows NT, 2000, ou XP Cette méthode nécessite d'activer le protocole LPD sur le système. Vérifier sur la page de configuration que le protocole LPD est activé. Ce protocole peut être activé via l'interface utilisateur locale ou via l'interface Web. Voir l'Annexe A pour de plus amples informations. 1) Ouvrir une invite de commande DOS. Pour cela, cliquer sur l'icône Windows "Démarrer" puis sur "Exécuter". Saisir "cmd" et appuyer sur <Entrer>. 2) Envoyer le fichier patch au moyen de la commande : lpr –S <printer_ip> –P lp PS_traversal_DC220-340.dlm 3) Arrêter le système, puis le redémarrer. Attendre que le démarrage soit terminé. 4) De nouveau, arrêter le système, puis le redémarrer. 5) Le patch est installé lorsque .P9 est ajouté au numéro de version du logiciel de contrôleur réseau. Annexe A - Activation de LPD, impression via le port 515 Afin de pouvoir utiliser la méthode LPR pour installer le patch, le système multifonctions considéré doit assurer la prise en charge LPD via le port 515. Cette prise en charge est déjà activée par défaut sur la plupart des systèmes multifonctions. Si l'impression LPD est désactivée, il est nécessaire de l'activer pour utiliser la méthode LPR. Pour Document Centre 240/255/265/420/425/432/440/460/470/480/490/535/545/555, exécuter les étapes suivantes pour activer LPD : 701P42354 Page 7/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index" située dans le coin supérieur droit 3) Choisir "LPR/LPD" ou "Line Printer Daemon" 4) Si la case "Activé" n'est PAS cochée, la sélectionner pour y ajouter une coche. 5) Sélectionner "Activer les nouveaux paramètres" 6) Saisir le nom d'utilisateur Admin et le mot de passe administrateur, puis sélectionner OK. 7) Redémarrer le système multifonctions soit à partir de la page Web État, soit en actionnant le bouton de mise hors tension du système. Pour Document Centre 220/230/332/340, exécuter les étapes suivantes pour activer LPD : 1) Ouvrir un navigateur Internet et se connecter au système multifonctions en entrant le numéro IP du système. 2) Sélectionner l'icône "Index des périphériques" située dans le coin supérieur droit 3) Choisir "Protocoles", puis rechercher LPD et sélectionner le lien LPD. 4) Si la case "Activé" n'est PAS cochée, la sélectionner pour y ajouter une coche. 5) Sélectionner "Activer les nouveaux paramètres" 6) Saisir le nom d'utilisateur Admin et le mot de passe administrateur, puis sélectionner OK. 7) Arrêter le système multifonctions, puis le redémarrer. 701P42354 Page 8/9 Bulletin de sécurité Xerox XRX04-005 Version du document : 1.0 Dernière mise à jour : 30 août 2004 Limitation de responsabilité Les informations contenues dans le présent bulletin sont fournies "en l'état" et aucune garantie d'aucune sorte n'est accordée. Xerox Corporation exclut toute garantie, expresse ou implicite y compris des garanties concernant la valeur marchande ou l’aptitude à répondre à une utilisation particulière. En aucun cas Xerox Corporation ne peut être tenu responsable d'aucun dommage résultant de l'utilisation ou de la non observation par l'utilisateur des informations fournies dans le présent bulletin, y compris en cas de perte de profits, de dommages directs ou indirects, accidentels, consécutifs ou spéciaux, même dans le cas où Xerox Corporation est informé de la possibilité de tels dommages. Certains États n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages consécutifs, auquel cas la limitation susdite ne s'applique pas. 701P42354 Page 9/9