Mise à jour du logiciel pour faire face à une vulnérabilité de type «Cross Site Scripting» Situation Une vulnérabilité persistante de type «Cross Site Scripting» existe au niveau du serveur Web des produits répertoriés ci-après. Si elle est exploitée, cette vulnérabilité peut permettre à des utilisateurs Web mal intentionnés d'insérer du code dans les pages Web affichées par d'autres utilisateurs. Les mots de passe client et utilisateur ne sont pas exposés. Cette vulnérabilité nous a été signalée en privé par Louhi Networks (Finlande). Xerox n'a pas connaissance de l'existence d'un code d'exploitation autre que celui fourni en vue d'une démonstration de faisabilité par le chercheur spécialiste de la sécurité. Dans le cadre des efforts soutenus déployés par Xerox pour protéger ses clients, des fichiers exécutables 1 ou binaires contenant les versions logicielles du contrôleur réseau développées pour faire face à cette vulnérabilité sont proposés pour les produits répertoriés. Ces solutions sont conçues pour être installées par le client. Suivez les procédures ci-après pour les installer et protéger votre produit contre des attaques potentielles sur le réseau. Les solutions logicielles sont compressées dans six fichiers exécutables correspondant chacun à un produit particulier et sont accessibles au moyen des liens indiqués ci-après ou sur le site http://www.xerox.com/security : Fichier exécutable pour WorkCentre 7132 version Standard -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7132-std_exec.zip Fichier binaire pour WorkCentre 7132 version Standard -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7132-std_bin.zip Fichier exécutable pour WorkCentre 7132 version Postscript -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7132-ps_exec.zip Fichier binaire pour WorkCentre 7132 version Postscript -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7132-ps_bin.zip Fichier exécutable pour WorkCentre 7228/7235/7245 -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7228-7235-7245_exec.zip Fichier binaire pour WorkCentre 7228/7235/7245 -- http://www.xerox.com/downloads/usa/en/c/cert_p35_wc7228-7235-7245_bin.zip Ces solutions sont classées comme étant critiques. Remerciements Xerox tient à remercier Henri Lindberg, Louhi Networks, Finlande (www.louhi.fi), qui nous a informés au départ de cette vulnérabilité. Cette solution logicielle s'applique aux versions en réseau 2 des produits suivants : WorkCentre 7132 7228 7235 7245 1 Firmware Update Tool pour Windows : utilitaire de mise à niveau du microprogramme fourni avec le logiciel et qui permet l'installation de ce dernier par le client. 2 Si le produit n'est pas connecté au réseau, il n'est pas vulnérable ; dans ce cas, aucune action n'est requise. 701P48546 1 / 6
Solution Processus d'installation du patch Mise à jour : 19/05/08 Instructions d'installation Nom du fichier patch pour les modèles WC 7228/7235/7245 : cert_p35_wc7228_7235_7245_exec.zip (fichier exécutable auto-extractible) cert_p35_wc7228_7235_7245_bin.zip (fichier binaire à utiliser avec CentreWare Web) Nom du fichier patch pour le modèle WC 7132 : cert_p35_wc7132-std_exec.zip (version STD du fichier exécutable auto-extractible) cert_p35_wc7132-std_bin.zip (version STD du fichier binaire à utiliser avec CentreWare Web) cert_p35_wc7132-ps_exec.zip (version PS du fichier exécutable auto-extractible) cert_p35_wc7132-ps_bin.zip (version PS du fichier binaire à utiliser avec CentreWare Web) Pour WC 7132 version PS, utilisez cert_p35_wc7132-ps_exec.zip ou cert_p35_wc7132-ps_bin.zip Pour WC 7132 version STD, utilisez cert_p35_wc7132-std_exec.zip ou cert_p35_wc7132-std_bin.zip Si la version logicielle correspond à : ROM du contrôleur 1 1.202.1 et versions inférieures à 1.202.6 Prêt pour le patch? Étape suivante : Puis : Oui Charger le patch (voir les remarques 1 et 2 relatives au modèle WC 7132 ci-dessous) La ROM du contrôleur indique maintenant : - 1.202.6 REMARQUE 1 relative au modèle WC 7132 : il convient d'abord de déterminer le fichier à charger sur ce périphérique. Le WC 7132 peut être configuré en tant que périphérique PS ou STD. Consultez l'annexe A ci-après pour déterminer la version requise. REMARQUE 2 relative au modèle WC 7132 : cert_p35_wc7132-std_exec.zip et cert_p35_wc7132-ps_exec.zip sont des fichiers exécutables auto-extractibles. Chacun de ces fichiers exécutables utilise l'utilitaire Firmware Update Tool, tel que décrit à l'annexe B ci-après. L'installation à partir de CentreWare Web n'est pas prise en charge pour ce produit. N'utilisez pas le fichier.exe avec CentreWare Web. Utilisez plutôt le fichier cert_p35_wc7132-std_bin.zip ou cert_p35_wc7132-ps_bin.zip. Pour les modèles WC 7228/7235/7245, utilisez WC7228_7235_7245_EXEC.zip ou cert_p35_wc7228_7235_7245_bin.zip (voir la remarque 1 ci-après relative aux modèles WC 7228/7235/7245) Si la version logicielle correspond à : ROM du contrôleur Prêt pour le patch? Étape suivante : Puis : La ROM du contrôleur indique maintenant : 1 1.220.0 et versions inférieures à 1.221.9 Oui Charger le patch (voir la remarque 1 relative aux modèles WC 7228/7235/7245 cidessous) - 1.221.9 REMARQUE 1 relative aux modèles WC 7228/7235/7245 : cert_p35_wc7228_7235_7245_exec.zip est un fichier exécutable auto-extractible qui utilise l'utilitaire Firmware Update Tool, tel que décrit à l'annexe B ci-après. N'utilisez pas le fichier.exe avec CentreWare Web. Utilisez plutôt le fichier cert_p35_wc7228_7235_7245_bin.zip. 701P48546 2 / 6
Installation du patch Le patch doit être téléchargé. Le patch est disponible sous forme de fichier ZIP. Téléchargez le fichier ZIP depuis le site indiqué et décompressez l'ensemble du fichier vers le bureau du système. Ne tentez pas d'ouvrir le fichier portant l'extension.dlm. Il s'agit du patch et ce fichier doit être installé en l'état sur le système multifonctions. Méthodes d'installation du patch Ce patch (comme la plupart des logiciels) doit être installé par le client. Pour ce faire, plusieurs méthodes sont disponibles. - Utilisation du fichier exécutable auto-extractible avec l'utilitaire Firmware Update Tool (voir l'annexe B). - Utilisation de XDM/CentreWare Web pour envoyer des fichiers de mise à niveau/patch à plusieurs périphériques. De plus amples informations sur cette méthode sont proposées dans la rubrique de recommandations «How to Upgrade, Patch or Clone Xerox Multifunction Devices» (http://www.office.xerox.com/support/dctips/dc06cc0410.pdf) Annexe A : procédure à suivre pour déterminer la configuration (PS ou STD) du périphérique WC 7132 Il est important d'obtenir le fichier de mise à niveau adapté à la machine. Pour déterminer la version du logiciel actuellement utilisé, procédez comme suit : Ouvrez votre navigateur Web, tapez http:// suivi de l'adresse TCP/IP de la machine dans le champ d'adresse, puis appuyez sur [Entrée]. Cliquez sur l'onglet [Propriétés]. Cliquez sur [Configuration]. Faites défiler l'affichage vers le bas jusqu'à la section Logiciel pour afficher la version du contrôleur. Vérifiez si la ROM du contrôleur est répertoriée sous la forme «Controller ROM» ou «Controller+PS ROM». Ceci permet de déterminer le fichier à télécharger à partir du site Xerox.com. Si «Controller ROM» est indiqué, chargez le fichier STD. Dans le cas de «Controller+PS ROM», chargez le fichier PS. Annexe B : Utilisation de l'utilitaire Firmware Update Tool (fichier.exe auto-extractible) : 1. L'utilitaire Firmware Update Tool est pris en charge pour les systèmes d'exploitation Windows uniquement. Si vous ne disposez pas d'un système d'exploitation Windows, appelez le Centre Services Xerox afin qu'un technicien charge le patch. 2. L'utilitaire Firmware Update Tool utilise le port 9100. Par conséquent, vérifiez que l'option Port 9100 est activée sur le périphérique. Pour ce faire : a. Ouvrez votre navigateur Web et tapez http:// suivi de l'adresse TCP/IP de la machine dans le champ d'adresse. Appuyez sur [Entrée]. b. Cliquez sur l'onglet [Propriétés]. c. Cliquez sur [État du port]. d. Vérifiez que la case en regard de l'option Port 9100 est cochée (activée). Si ce n'est pas le cas, cochez cette case, puis sélectionnez [Appliquer] au bas de la page Web. 3. Avant de procéder à la mise à niveau, vérifiez que le périphérique n'est pas en cours d'utilisation. Aucun travail ne doit être en cours de traitement ou de programmation sur l'interface utilisateur locale. 4. Cliquez deux fois sur le nom du fichier.exe. L'écran illustré ci-après s'affiche. Après avoir pris connaissance de l'accord de licence, sélectionnez [Agree] pour poursuivre l'installation. Si la mise à niveau concerne un périphérique WC 7132, vérifiez que le fichier choisi (PS ou STD) est correct. Les instructions correspondantes sont fournies à l'annexe A, ci-dessus. 701P48546 3 / 6
5. Sur l'écran suivant, sélectionnez le modèle d'imprimante voulu dans la liste déroulante. Pour WC 7228/7235/7245, les sélections suivantes sont disponibles : WorkCentre 7228, WorkCentre 7235, WorkCentre 7245. Veillez à choisir le modèle correspondant au périphérique utilisé. Pour WC 7132, la sélection suivante est disponible : WorkCentre 7132. 6. Vérifiez que l'option Network (Port9100) est sélectionnée, puis cliquez sur [Next]. 701P48546 4 / 6
7. Sélectionnez l'option IPAddress Input, puis saisissez l'adresse TCP/IP du périphérique. Sélectionnez [Next]. Si le modèle d'imprimante choisi à l'étape 5 n'est pas correct, il est impossible de poursuivre l'installation à ce stade. 8. Le patch est chargé sur le périphérique. Cette opération peut durer de 10 à 15 minutes. 701P48546 5 / 6
9. Ne sélectionnez aucun bouton dans l'utilitaire Firmware Update Tool jusqu'à ce que l'écran de résultat «Firmware Update Result is Displayed Below» s'affiche. Vérifiez l'état de la mise à niveau en faisant défiler l'affichage vers la droite afin de confirmer que le périphérique a été mis à jour. Si l'opération a abouti, sélectionnez [Finish] pour quitter l'utilitaire. En cas d'échec, vérifiez que le fichier choisi est correct, que le périphérique n'était pas en cours d'utilisation au moment de la mise à jour et que le réseau est opérationnel. Si, après avoir effectué ces vérifications, vous constatez toujours des problèmes de mise à jour, prenez contact avec votre Centre Services Xerox. Limitation de responsabilité Les informations contenues dans le présent bulletin sont fournies «en l'état» et aucune garantie d'aucune sorte n'est accordée. Xerox Corporation exclut toute garantie, expresse ou implicite, y compris des garanties concernant la valeur marchande ou l'aptitude à répondre à une utilisation particulière. En aucun cas Xerox Corporation ne peut être tenu responsable d'aucun dommage résultant de l'utilisation ou de la non observation par l'utilisateur des informations fournies dans le présent bulletin, y compris en cas de perte de profits, de dommages directs ou indirects, accidentels, consécutifs ou spéciaux, même dans le cas où Xerox Corporation est informé de la possibilité de tels dommages. Certains États n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages consécutifs, auquel cas la limitation susdite peut ne pas s'appliquer. 701P48546 6 / 6