S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 février 2004
N° CERTA-2004-AVI-049
Affaire suivie par: CERT-FR
le 26 février 2004

Avis du CERT-FR

Objet: Vulnérabilité dans nCipher

Gestion du document

Référence CERTA-2004-AVI-049
Titre Vulnérabilité dans nCipher
Date de la première version 26 février 2004
Date de la dernière version 26 février 2004
Source(s) Avis de Sécurité nCipher N˚9
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Divulgation de données sensibles.

Systèmes affectés

  • module de deuxième génération (nCxxx2W ou nCxxx2P), avec une version du progiciel postérieure à 1.67.0 et antérieure à 2.0.0 ;
  • module de deuxième génération (nCxxx2W ou nCxxx2P), avec une version du progiciel postérieure à 2.0.0, et le dispositif generalSEE activé ou potentiellement activé ;
  • module de troisième génération (ncxxx3S ou nCxxx3P), avec une version du progiciel postérieure à 2.12.0, et le dispositif generalSEE activé ou potentiellement activé.

Description

A cause d'une erreur d'implémentation dans certaines versions du progiciel de nCipher, un utilisateur mal intentionné pouvant exécuter certaines commandes sur un HSM (Hardware Security Module), pourra récupérer des informations sensibles dans la mémoire d'exécution, telles que, par exemple, les clefs secrètes utilisées par le module.

Solution

L'entreprise nCipher conseille de mettre le progiciel à jour. La mise à jour du progiciel peut être envoyée par le support technique, dont les coordonnées se trouvent sur l'avis d'origine de nCipher.

http://www.ncipher.com/support/advisories/advisory9.htm

Documentation

Avis de sécurité n˚9 de nCipher

http://www.ncipher.com/support/advisories/advisory9.htm

Gestion détaillée du document

    le 26 février 2004
    version initiale.