{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Gestor version 2.21.</P>","content":"## Description\n\nGestor est un progiciel destin\u00e9 \u00e0 la planification et \u00e0 la gestion des\ntemps (temps de travail par exemple). Il poss\u00e8de un module permettant\nd'effectuer des t\u00e2ches d'administration et de consultation \u00e0 distance au\ntravers d'une interface web. Ce module utilise une biblioth\u00e8que\njavascript (overhelp.js) librement distribu\u00e9e par Erik Bosrup contenant\nune fonction de tra\u00e7age mise en \u0153uvre par un site de mesure d'audience\n(www.nedstat.nl). Cette fonction appelle trois URLs dont l'une contenant\nl'adresse IP du r\u00e9seau local (adresse IP de la machine sur laquelle\nr\u00e9side le module de consultation) et une r\u00e9f\u00e9rence \u00e0 l'application\ngestor (obtenues au travers de la variable REFERER).\n\n-   http://www.bosrup.com/web/overlib/o2/tr.gif\n\n-   http://www.nedstat.nl/cgi-bin/nedstat.gif?name=ol2t\n\n-   http://www.nedstat.nl/cgi-bin/referstat.gif?name=ol2t&refer=http=/X.X.X.X/gestor/formplanninga_u.asp\n\n    o\u00f9 X.X.X.X d\u00e9signe l'adresse IP du serveur Gestor.\n\nAucune information nominative n'est toutefois transmise par ce proc\u00e9d\u00e9.\n\n## Contournement provisoire\n\nSi l'application Gestor est sur une machine directement ou indirectement\nreli\u00e9e \u00e0 Internet, bloquer au niveau du pare-feu ou du relais HTTP\nl'adresse du serveur de statistiques (www.nedstat.nl) et du site d'Erik\nBosrup (www.bosrup.com).\n\n## Solution\n\nLa soci\u00e9t\u00e9 GFI a affirm\u00e9 au CERTA que tous les clients utilisant Gestor\nversion 2.21 \u00e9taient pr\u00e9venus et que la vuln\u00e9rabilit\u00e9 avait \u00e9t\u00e9 corrig\u00e9e\nsur leur plateforme. Contactez la soci\u00e9t\u00e9 GFI si vous utilisez la\nversion vuln\u00e9rable du produit et que vous n'avez pas \u00e9t\u00e9 contact\u00e9.\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-063","revisions":[{"description":"version initiale.","revision_date":"2002-03-26T00:00:00.000000"}],"risks":[{"description":"Publication de l'adresse ip de machines contenant des donn\u00e9es nominatives"}],"summary":"Gestor est un progiciel \u00e9dit\u00e9 par la soci\u00e9t\u00e9 GFI Progiciels.\n\nUne fonction pr\u00e9sente dans une biblioth\u00e8que javascript utilis\u00e9e se\nconnecte \u00e0 plusieurs sites web pour d\u00e9livrer des donn\u00e9es \u00e0 des fins de\nstatistiques.\n","title":"Vuln\u00e9rabilit\u00e9 dans GESTOR 2.21","vendor_advisories":[]}