Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- Novell GroupWise WebAccess 6.0 utilisant un serveur web apache 1.3.x ;
- Novell GroupWise WebAccess 6.5 utilisant un serveur web apache 1.3.x.
Résumé
Une vulnérabilité liée à un problème de configuration du serveur web apache 1.3.x peut permettre à un utilisateur mal intentionné d'obtenir un accès privilegié sur un serveur vulnérable.
Description
Un problème de configuration dans le fichier GWAPACHE.CONF, utilisé par le serveur web Apache 1.3.x en environnement NetWare, permet à un utilisateur mal intentionné d'obtenir un accès privilégié sur un serveur Novell GroupWise WebAccess.
Les plate-formes utilisant un autre serveur web ou un serveur web apache différent d'apache 1.3.x pour NetWare ne sont pas affectés par ce problème.
Contournement provisoire
Ajouter les options suivantes à la fin de la section <Directory
"/">...</Directory> :
Order deny,allow
deny from all
Solution
Mettre à jour Novell GroupWise 6.5 SP2 à l'aide du fichier FWA652E.exe disponible sur le site de Novell (cf. section documentation) ou appliquer le contournement provisoire pour la version 6.0 de Novell GroupWise.
Documentation
- Avis de sécurité Novell 10091330 http://support.novell.com/cgi-bin/search/searchtid.cgi?/10091330.htm
- Support Novell : http://support.novell.com/filefinder