SIKKERHETSBULLETIN XRX07-001 FRA XEROX Det er svakheter i ESS/nettverkskontrolleren som, hvis de blir utnyttet, kan føre ekstern utførelse av vilkårlig programvare, forfalskning av digitale sertifikater eller start av tjenestenektangrep. Følgende programvareløsning (feilkorrigeringsfil P30) og instruksjoner som kunden skal utføre selv, finnes for produktene som er oppført i listen. Denne feilkorrigeringsfilen er utformet slik at den kan installeres av kunden. Følg fremgangsmåtene nedenfor når du skal installere feilkorrigeringsfilen for å beskytte enheten mot mulige angrep via nettverket. Programvareløsningen er komprimert i en ZIP-fil på 990 kb og er gjengelig via følgende kopling: http://www.xerox.com/downloads/usa/en/c/cert_p30_ess_network_controller_patch.zip Kunder som er bekymret for denne svakheten i produktene som er oppført nedenfor, bør først følge de vedlagte installasjonsinstruksjonene for å kontrollere om de har versjonen feilkorrigeringsfilen skal installeres for. Når det gjelder produkter i WC/WCP 2xx-serien, inneholder systemprogramvareversjon *.60.22.000 eller høyere (ESS-kontrollerversjon 040.022.*1031 eller høyere) allerede denne korrigeringen, slik at det ikke er nødvendig å installere feilkorrigeringsfilen. Følg installasjonsinstruksjonene hvis du ikke har versjonen som angitt over, eller høyere, for noen av de aktuelle produktene. Hvis du har WorkCentre 7655/7665 og systemprogramvaren ikke er 040.032.53080 eller høyere (nettverkskontrollerversjon 040.022.*1031 eller høyere), må i legg en servicetekniker kontaktes for å oppgradere maskinen systemprogramvare/nettverkskontrollerversjon 040.032.53080 før feilkorrigeringsfilen kan benyttes. Merk: Denne sikkerhetsoppgraderingen er utformet som feilkorrigeringsfil P30. Når denne feilkorrigeringsfilen er installert, vises nettverkskontrollerversjonen.p30 (f.eks. 40.010.#1172.P30). Vi gjentar at når det gjelder produkter i WC/WCP 2xx-serien, inneholder systemprogramvareversjon *.60.22.000 eller høyere (ESSkontrollerversjon 040.022.*1031 eller høyere) allerede denne korrigeringen, og det er ikke nødvendig å installere feilkorrigeringsfilen. Bakgrunn Som en del av Xerox' pågående innsats for å beskytte kunder, ble følgende svakheter som er dokumentert i Red Hat Security Advisory RHSA-2006:0695-12 mot OpenSSL, oppdaget: Uriktig begrensningskontroll av brukerinndata Uriktig håndtering av feil Ustrekkelig behandling av digitale signaturer Uriktig validering av lengde på fellesnøkkel Usikker protokollforhandling mellom likeverdige maskiner (peer-to-peer) Disse sårbarhetene i ESS-/nettverkskontrollerkode kan føre at en angriper kan omgå godkjenning og utføre vilkårlig programvare eksternt, forfalske legitimasjon eller starte tjenestenektangrep på enheten. Hvis angrepet er vellykket, kan angriperen foreta uautoriserte endringer i systemkonfigurasjonen. Kunde- og brukerpassord er trygge. 701P47303 Side 1 av 5
Produkter denne feilkorrigeringsfilen gjelder for: WorkCentre WorkCentre Pro 232 232 238 238 245 245 255 255 265 265 275 275 7655 7665 Løsning Installasjonsinstruksjoner Navn på feilkorrigeringsfil: P30.dlm Denne feilkorrigeringsfilen kan installeres på systemene slik det er beskrevet Oversikt over versjoner og handlinger: Finn systemprogramvareversjon eller ESS-kontrollerversjon. Finn ut hvilke oppgraderinger som er nødvendige. Oppgrader enheter etter behov. Benytt feilkorrigeringsfilen hvis det trengs. For WC/WCP 232/238/245/255/265/275 Hvis programvareversjonen er Klar for Systemprog.vare el. ESSkontrollering? feilkorrige- 1 *.27.24.000 040.010.#0930 Nei 040.010.#1160 *.27.24.020 Neste trinn: Oppgrader *.60.17.000. Deretter: Nettverkskontroller/ESS viser nå følgende: Se rad 8. - 2 *.50.03.000 *.50.03.009 040.010.#1172 040.010.#2250 Nei Oppgrader *.60.17.000. 3 *.50.03.011 040.010.#2280 Nei Besl service for å oppgradere 4 *.27.24.015 5 *.39.24.001 040.010.#1121 Nei Se merknad 1 040.010.#1123 Nei Se merknad 1 6 *.60.15.000 040.022.#0112 Nei Oppgrader 7 *.60.17.000 040.022.#0115 Ja Se merknad 2 Se rad 8. - - - 040.022.#0115.P30 040.022.#0115.P30 701P47303 Side 2 av 5
8 *.60.17.000 *.60.17.006 040.022.#0115 040.022.#1022 Ikke aktuelt Last feilkorrigerings fil P30, eller oppgrader 9 *.60.17.008 040.022.#1031 Ikke aktuelt Ferdig - - 10 *.60.22.000 040.022.#1031 Ikke aktuelt Ferdig - - og over Merknad 1: Hvis systemprogramvareversjonen er enten *.27.24.015 eller *.39.24.001, har enheten en konfigurasjon som er Criteria-sertifisert. Du kan oppgradere x.60.17.000 og deretter laste feilkorrigeringsfil P30 (rad 7 over), selv om enheten ikke lenger vil ha en konfigurasjon som er Criteria-sertifisert. Merknad 2: Hvis enheten har systemprogramvareversjonen *.60.17.000, har enheten en Criteria-sertifisert konfigurasjon som snart realiseres. Du kan laste feilkorrigeringsfil P30 hvis du ønsker det, selv om enheten ikke lenger har den Criteria-sertifiserte konfigurasjonen når sertifiseringen er fullført. For WC 7655/7665 Hvis programvareversjonen er Systemprog.vare el. nettverkskontroller 1 040.032.50855 040.032.51040 040.032.50855 040.032.51030 Klar for feilkorrigering? Nei Neste trinn: Besl service for å oppgradere 040.032.53080. 2 040.032.53080 040.032.53080 Ja Last feilkorrigeringsfil P30. 3 040.032.53080 4 040.032.55030 og høyere 040.032.53080 Ja Se merknad 1 040.032.55030 og høyere Deretter: Nettverkskontroller/ESS viser nå følgende: Last 040.032.53080.P30 feilkorrig eringsfil P30. - 040.032.53080.P30 040.032.53080.P30 Ikke aktuelt Ferdig - - Merknad 1: Hvis systemprogramvareversjonen er 040.032.53080, har enheten en konfigurasjon som er Criteria-sertifisert. Du kan laste feilkorrigeringsfilen P30 (se rad 2 over) hvis du ønsker det, men da har ikke enheten lenger en konfigurasjon som er Criteria-sertifisert. Installere feilkorrigeringsfilen Du må laste ned feilkorrigeringsfilen. Filen er pakket i ZIP-format. Last ned ZIP-filen fra angitt URL-adresse, og pakk ut innholdet på skrivebordet. Ikke prøv å åpne filen med filtypen DLM. Dette er selve feilkorrigeringsfilen, og den må lastes på maskinen slik den er. 701P47303 Side 3 av 5
Metoder for å installere feilkorrigeringsfilen Denne feilkorrigeringsfilen og oppgraderingen (som de fleste typer programvare) kan og bør installeres av kunden. Det er mange måter å gjøre dette på. - Sende en oppgraderings-/feilkorrigeringsfil enheten ved hjelp av Internett-siden maskinen ved hjelp av maskinvareoppgraderingsmetoden. - Oppgradere/feilkorrigere en enkelt enhet ved hjelp av LPR-kommandoen. - Oppgradere/feilkorrigere flere enheter ved hjelp av en rekke LPR-kommandoer. - Bruke XDM og CenterWare Internett-tjenester å sende oppgraderings-/feilkorrigeringsfiler flere enheter. Hvis du vil ha mer informasjon om metodene ovenfor, ser du kundetipset "How to Upgrade, Patch or Clone Xerox Multifunction Devices" (http://www.office.xerox.com/support/dctips/dc06cc0410.pdf.) Programvareoppgraderingsmetoden 1) Åpne en nettleser, og kople deg maskinen ved å oppgi IP-nummeret maskinen. 2) Velg ikonet Stikkord midt på øverste del av skjermen. 3) Velg Maskinens programvare (oppgraderinger). 4) Oppgi brukernavnet og passordet maskinen. 5) Velg Bla gjennom under Manuell oppgradering for å finne og velge filen P30.dlm. 6) Velg Installer programvare. 7) Alle WCP-enheter skriver ut et installasjonsark for feilkorrigeringsfilen og starter automatisk på nytt for å installere feilkorrigeringsfilen. Feilkorrigeringsfilen er installert når.p30 blir lagt versjonsnummeret for nettverkskontrolleren (ESS). 701P47303 Side 4 av 5
Tillegg A Innhente systemprogramvare Slik innhenter du systemprogramvareversjon *.60.17.000, *.60.22.000 eller senere: a) Bruk en nettleser, og naviger www.xerox.com. b) Velg koplingen Kundestøtte og drivere. c) Velg Flerfunksjonsmaskiner. d) Velg WorkCentre eller WorkCentre Pro avhengig av hvilken modell du har. e) Finn koplingen for WorkCentre-modellen du har. f) Velg Drivere og nedlastinger. g) Velg koplingen for fastvare- og maskinoppgraderinger. h) Velg koplingen for installasjonsinstruksjoner for systemprogramvareversjon XXX (XXX viser aktuell systemprogramvareversjon som er oppgitt i installasjonsinstruksjonene over), og skriv ut eller lagre disse instruksjonene. i) Velg koplingen for installasjonsinstruksjoner for systemprogramvareversjon XXX (XXX viser aktuell systemprogramvareversjon som er oppgitt i installasjonsinstruksjonene over), og lagre filen på datamaskinen. j) Når filene er lastet ned, pakker du dem ut på skrivebordet. k) Les gjennom instruksjonene for installering av systemprogramvare som du lagret. l) Oppgrader enheten. Ansvarsfraskrivelse Informasjonen i denne produktbulletinen fra Xerox gis slik den er, uten noen form for garanti. Xerox Corporation fraskriver seg alt ansvar, både uttrykt og underforstått, inkludert garantier om salgbarhet eller egnethet et bestemt formål. Ikke under noen omstendigheter skal Xerox Corporation være ansvarlig for noen form for skade som oppstår ved at brukeren benytter eller ikke tar hensyn informasjonen i denne produktbulletinen, inkludert direkte og indirekte skade, skade ved uhell, følgeskade, tap av fortjeneste eller spesiell skade, selv om Xerox Corporation har blitt informert om muligheten for slik skade. I noen land lates ikke ansvarsfraskrivelser for følgeskader, og i slike feller gjelder ikke ovenstående begrensning. 701P47303 Side 5 av 5