S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 mars 2003
N° CERTA-2003-AVI-065
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité sur le moteur de recherche "Aurweb" de la société Auracom

Gestion du document

Référence CERTA-2003-AVI-065
Titre Vulnérabilité sur le moteur de recherche "Aurweb" de la société Auracom
Date de la première version27 mars 2003
Date de la dernière version27 mars 2003
Source(s) Certa
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

Toutes les versions du produit aurweb antérieures à la version du 18 mars 2003.

Résumé

Une vulnérabilité présente dans le moteur de recherche aurweb de la société Auracom permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur sur lequel se trouve installé le programme aurweb.

Description

Le moteur de recherche aurweb de la société Auracom est capable d'effectuer une recherche sur des données textuelles ou structurées.

Une vulnérabilité présente sur le programme aurweb dans le mode « full text » permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur et ainsi d'accéder en lecture aux fichiers se trouvant sur ce serveur.

Contournement provisoire

Mettre des restrictions sur l'accès aux répertoires contenant le module aurweb.

Solution

Contacter l'éditeur pour recevoir une mise à jour (cf. section documentation).
La version du 18 mars corrige cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 27 mars 2003
    version initiale.