S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 mars 2004
N° CERTA-2004-AVI-102
Affaire suivie par: CERT-FR
le 26 mars 2004

Avis du CERT-FR

Objet: Vulnérabilité sur Novell Netware 6.5

Gestion du document

Référence CERTA-2004-AVI-102
Titre Vulnérabilité sur Novell Netware 6.5
Date de la première version 26 mars 2004
Date de la dernière version 26 mars 2004
Source(s) Avis de sécurité Novell 2968534
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

  • Novell Netware 6.5 OS Support Pack 1.1 ;
  • Novell Netware 6.5 Products Support Pack 1.1.

Résumé

Une vulnérabilité présente dans l'installation de Novell Netware 6.5 Support Pack 1.1 peut être exploitée par un utilisateur mal intentionné pour obtenir les privilèges de l'administrateur.

Description

Un utilisateur mal intentionné peut retrouver, par l'intermédiaire des fichiers journaux d'installation (NIOUTPUT.TXT, NI.LOG), les mots de passe de l'administrateur ayant effectué l'installation.

Solution

  • Sécuriser ou supprimer les deux fichiers journaux cités ci-dessus ;
  • changer les mots de passe de l'administrateur ayant effectué l'installation ;
  • utiliser la mise à jour Novell 6.5 Support Pack 1.1(b) pour les prochaines mises à jour (cf. section documentation).

Documentation

Gestion détaillée du document

    le 26 mars 2004
    version initiale.