CERTA-2004-AVI-049

Vulnerability from certfr_avis - Published: - Updated:

None

Description

A cause d'une erreur d'implémentation dans certaines versions du progiciel de nCipher, un utilisateur mal intentionné pouvant exécuter certaines commandes sur un HSM (Hardware Security Module), pourra récupérer des informations sensibles dans la mémoire d'exécution, telles que, par exemple, les clefs secrètes utilisées par le module.

Solution

L'entreprise nCipher conseille de mettre le progiciel à jour. La mise à jour du progiciel peut être envoyée par le support technique, dont les coordonnées se trouvent sur l'avis d'origine de nCipher.

http://www.ncipher.com/support/advisories/advisory9.htm
None
Impacted products
Vendor Product Description
N/A N/A module de troisième génération (ncxxx3S ou nCxxx3P), avec une version du progiciel postérieure à 2.12.0, et le dispositif generalSEE activé ou potentiellement activé.
N/A N/A module de deuxième génération (nCxxx2W ou nCxxx2P), avec une version du progiciel postérieure à 1.67.0 et antérieure à 2.0.0 ;
N/A N/A module de deuxième génération (nCxxx2W ou nCxxx2P), avec une version du progiciel postérieure à 2.0.0, et le dispositif generalSEE activé ou potentiellement activé ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "module de troisi\u00e8me g\u00e9n\u00e9ration (ncxxx3S ou nCxxx3P), avec une version du progiciel post\u00e9rieure \u00e0 2.12.0, et le dispositif generalSEE activ\u00e9 ou potentiellement activ\u00e9.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "module de deuxi\u00e8me g\u00e9n\u00e9ration (nCxxx2W ou nCxxx2P), avec une version du progiciel post\u00e9rieure \u00e0 1.67.0 et ant\u00e9rieure \u00e0 2.0.0 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "module de deuxi\u00e8me g\u00e9n\u00e9ration (nCxxx2W ou nCxxx2P), avec une version du progiciel post\u00e9rieure \u00e0 2.0.0, et le dispositif generalSEE activ\u00e9 ou potentiellement activ\u00e9 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nA cause d\u0027une erreur d\u0027impl\u00e9mentation dans certaines versions du\nprogiciel de nCipher, un utilisateur mal intentionn\u00e9 pouvant ex\u00e9cuter\ncertaines commandes sur un HSM (Hardware Security Module), pourra\nr\u00e9cup\u00e9rer des informations sensibles dans la m\u00e9moire d\u0027ex\u00e9cution, telles\nque, par exemple, les clefs secr\u00e8tes utilis\u00e9es par le module.\n\n## Solution\n\nL\u0027entreprise nCipher conseille de mettre le progiciel \u00e0 jour. La mise \u00e0\njour du progiciel peut \u00eatre envoy\u00e9e par le support technique, dont les\ncoordonn\u00e9es se trouvent sur l\u0027avis d\u0027origine de nCipher.\n\n    http://www.ncipher.com/support/advisories/advisory9.htm\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 n\u02da9 de nCipher",
      "url": "http://www.ncipher.com/support/advisories/advisory9.htm"
    }
  ],
  "reference": "CERTA-2004-AVI-049",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-02-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation de donn\u00e9es sensibles"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 dans nCipher",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de S\u00e9curit\u00e9 nCipher N\u02da9",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.