S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 juillet 2004
N° CERTA-2004-AVI-229
Affaire suivie par: CERT-FR
le 07 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilité de nCipher netHSM

Gestion du document

Référence CERTA-2004-AVI-229
Titre Vulnérabilité de nCipher netHSM
Date de la première version 07 juillet 2004
Date de la dernière version 07 juillet 2004
Source(s) Bulletin de sécurité nCipher n˚10
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Divulgation d'informations sensibles.

Systèmes affectés

  • nCipher netHSM version 2 ;
  • nCipher netHSM version 2.1.

Résumé

Une vulnérabilité présente dans nCipher netHSM permet à un utilisateur local d'accèder à des informations sensibles.

Description

NetHSM (Network Connected Hardware Security Modules) est un équipement connecté au réseau utilisé pour le stockage de clefs cryptographiques qui fournit des fonctions de signature, chiffrement et déchiffrement.

Une vulnérabilité permet à un utilisateur local mal intentionné de récupérer la phrase d'authentification (passphrase) sauvegardée en clair dans un fichier journal.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Cette action étant irréversible, il est conseillé de contacter le support nCipher en cas de doute.

Documentation

Bulletin de sécurité nCipher numéro 10 du 22 juin 2004 : 

http://www.ncipher.com/support/advisories/advisory10.htm

Gestion détaillée du document

    le 07 juillet 2004
    version initiale.