Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

  • Novell GroupWise WebAccess 6.0 utilisant un serveur web apache 1.3.x ;
  • Novell GroupWise WebAccess 6.5 utilisant un serveur web apache 1.3.x.

Résumé

Une vulnérabilité liée à un problème de configuration du serveur web apache 1.3.x peut permettre à un utilisateur mal intentionné d'obtenir un accès privilegié sur un serveur vulnérable.

Description

Un problème de configuration dans le fichier GWAPACHE.CONF, utilisé par le serveur web Apache 1.3.x en environnement NetWare, permet à un utilisateur mal intentionné d'obtenir un accès privilégié sur un serveur Novell GroupWise WebAccess.

Les plate-formes utilisant un autre serveur web ou un serveur web apache différent d'apache 1.3.x pour NetWare ne sont pas affectés par ce problème.

Contournement provisoire

Ajouter les options suivantes à la fin de la section <Directory "/">...</Directory> :
Order deny,allow
deny from all

Solution

Mettre à jour Novell GroupWise 6.5 SP2 à l'aide du fichier FWA652E.exe disponible sur le site de Novell (cf. section documentation) ou appliquer le contournement provisoire pour la version 6.0 de Novell GroupWise.

Documentation