Risque
- Publication de l'adresse ip de machines contenant des données nominatives
Systèmes affectés
Gestor version 2.21.
Résumé
Gestor est un progiciel édité par la société GFI Progiciels.
Une fonction présente dans une bibliothèque javascript utilisée se connecte à plusieurs sites web pour délivrer des données à des fins de statistiques.
Description
Gestor est un progiciel destiné à la planification et à la gestion des temps (temps de travail par exemple). Il possède un module permettant d'effectuer des tâches d'administration et de consultation à distance au travers d'une interface web. Ce module utilise une bibliothèque javascript (overhelp.js) librement distribuée par Erik Bosrup contenant une fonction de traçage mise en œuvre par un site de mesure d'audience (www.nedstat.nl). Cette fonction appelle trois URLs dont l'une contenant l'adresse IP du réseau local (adresse IP de la machine sur laquelle réside le module de consultation) et une référence à l'application gestor (obtenues au travers de la variable REFERER).
-
http://www.nedstat.nl/cgi-bin/referstat.gif?name=ol2t&refer=http=/X.X.X.X/gestor/formplanninga_u.asp
où X.X.X.X désigne l'adresse IP du serveur Gestor.
Aucune information nominative n'est toutefois transmise par ce procédé.
Contournement provisoire
Si l'application Gestor est sur une machine directement ou indirectement reliée à Internet, bloquer au niveau du pare-feu ou du relais HTTP l'adresse du serveur de statistiques (www.nedstat.nl) et du site d'Erik Bosrup (www.bosrup.com).
Solution
La société GFI a affirmé au CERTA que tous les clients utilisant Gestor version 2.21 étaient prévenus et que la vulnérabilité avait été corrigée sur leur plateforme. Contactez la société GFI si vous utilisez la version vulnérable du produit et que vous n'avez pas été contacté.