/fr/contact-et-soutien/Avis-de-produit/2026-MAR-23-CPE2026-051–Mesure-corrective-pour-une-vulnerabilite-potentielle-OpenSSL-affectant-IRIS-XMailFetcher

CPE2026-051 – Mesure corrective pour une vulnérabilité potentielle d'OpenSSL affectant IRIS XMailFetcher – 23 mars 2026

 
Description :
IRIS, une société du groupe Canon, a identifié que l'un de ses produits, IRIS XMailFetcher, utilise une version vulnérable d'OpenSSL dans laquelle un utilisateur malveillant peut fournir un message selon la syntaxe des messages cryptographiques (SMC) avec un vecteur d'initialisation (VI) surdimensionné. OpenSSL copie ce VI dans un tampon de pile de taille fixe sans en valider la longueur, ce qui entraîne un dépassement de tampon de pile. Cette vulnérabilité peut affecter l'analyse par OpenSSL des structures SMC AuthEnvelopedData et EnvelopedData qui utilisent des chiffrements par chiffrement authentifié avec données associées (CADA), tels que AES-GCM.
 
 
Les impacts potentiels de cette vulnérabilité comprennent :
● Déni de service (DdS) en raison de plantages de l'application.
● Exécution de code à distance potentielle, selon les mesures d'atténuation de la plateforme.
● Aucun matériel de clé valide n'est requis par l'attaquant, car le dépassement de tampon de pile se produit avant l'authentification.
 
Versions affectées :
IRIS XMailFetcher : Version 5.0.29 et antérieures.
 
Mesures correctives / d'atténuation :
IRIS a publié IRIS XMailFetcher version 5.0.30, une mise à jour de sécurité qui corrige cette vulnérabilité (CVE-2025-15467). Cette version ne comprend aucune modification supplémentaire ni aucune nouvelle fonctionnalité, et vise uniquement à résoudre ce problème. Canon recommande de procéder à la mise à jour vers la version 5.0.30 dès que possible. Si vous avez besoin d'aide avec cette mise à jour, veuillez contacter notre équipe de soutien. Le correctif est disponible dans le « Centre de téléchargement » et la communication se trouve sous « Actualités techniques » dans le portail des partenaires IRIS, sous le titre : « IRIS XMailFetcher 5.0.30 – CVE-2025-15467 Fix ». Veuillez noter qu'IRIS a résolu ce problème en publiant la mise à jour de la version 5.0.30 le 19 février 2026. À la date du présent avis, il n'y a eu aucun rapport indiquant que cette vulnérabilité a été exploitée. Cependant, afin d'améliorer la sécurité du produit, nous recommandons aux clients d'installer la dernière version d'IRIS XMailFetcher (version 5.0.30).
 
CVE/CVSS :
CVE-2025-15467 : Une vulnérabilité de dépassement de tampon de pile dans OpenSSL affectant l'analyse des messages SMC AuthEnvelopedData et EnvelopedData.
CVSS:4.0 / AV:N / AC:L / AT:N / PR:N / UI:N / VC:H / VI:H / VA:H / SC:N / SI:N / SA:N Score de base : 9.3