S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 octobre 2001
N° CERTA-2001-AVI-119
Affaire suivie par: CERT-FR
le 19 octobre 2001

Avis du CERT-FR

Objet: Vulnérabilité de l’interface Web du serveur Novell GroupWise

Gestion du document

Référence CERTA-2001-AVI-119
Titre Vulnérabilité de l’interface Web du serveur Novell GroupWise
Date de la première version 19 octobre 2001
Date de la dernière version 19 octobre 2001
Source(s) Liste de diffusion BugTraq
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès en lecture à l'ensemble des fichiers du volume hébergeant le serveur.

Systèmes affectés

Novell GroupWise en versions 5.5EP (``Enhancement Pack'') et 6.

GroupWise est disponible sous Windows NT/2000, Win 95/98, Win 3.1 et Unix.

Résumé

Un utilisateur mal intentionné peut, à l'aide d'un simple navigateur et d'une URL mal formée, accéder via le web à tout fichier sur le même volume que le serveur GroupWise.

Description

Il existe une vulnérabilité dans certains exécutables Java du composant ``Web Access'' du serveur Novell GroupWise. Elle permet d'accéder à l'ensemble du volume par le biais de l'interface Web, en particulier aux fichiers de configuration.

La vulnérabilité est démontrée sous Windows 2000. Cependant, étant donné que seuls des programmes Java sont concernés, il est probable que toutes les plateformes soient concernées.

Solution

Appliquer le correctif de Novell pour GroupWise.

Documentation

Avis de Foundstone posté dans BugTraq

http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=327

Gestion détaillée du document

    le 19 octobre 2001
    version initiale.