S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 juillet 2003
N° CERTA-2003-AVI-123
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans les serveurs Novell Netware

Gestion du document

Référence CERTA-2003-AVI-123
Titre Vulnérabilité dans les serveurs Novell Netware
Date de la première version25 juillet 2003
Date de la dernière version25 juillet 2003
Source(s) Bulletin de sécurité Novell
VU#185593 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Serveurs Novell Netware 5.1 et 6.

Résumé

Un utilisateur distant mal intentionné peut, par le biais d'une requête HTTP judicieusement composée, exécuter du code arbitraire sur le serveur vulnérable ou réaliser un déni de service.

Description

Une vulnérabilité a été découverte dans l'interpréteur PERL du serveur Web de Novell (Netware Entreprise Web Server).

Une mauvaise gestion des requêtes HTTP à destination de l'interpréteur PERL par le module CGI2PERL.NLM peut entraîner un débordement de pile, permettant à un utilisateur distant de réaliser un déni de service, voire l'exécution de code arbitraire avec les privilèges du serveur web (Admin).

Solution

Appliquer le correctif disponible sur le site de l'éditeur :

http://support.novell.com/servlet/filedownload/ftf/cgiperl71903.exe

Documentation

Gestion détaillée du document

    le 25 juillet 2003
    version initiale.