Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- 3Com Network Director 1.x ;
- 3Com Network Director 2.x ;
- 3Com Network Supervisor 5.x.
Résumé
Une vulnérabilité de type "traversée d'arborescence", découverte dans l'application 3Com Network Supervisor permet à un utilisateur mal intentionné, présent sur le réseau local, de porter atteinte à la confidentialité des données.
Description
3Com Network Supervisor et Director sont des outils d'administration réseau.
La vulnérabilité est causée par une erreur dans le traitement des requêtes HTTP destinées au serveur Web interne. Une personne malveillante peut, au moyen de requêtes HTTP malicieusement constituées, à destination du 21700/tcp, porter atteinte à la confidentialité des donnée hors de la racine du serveur web.
Solution
Se référer à la section Documentation pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité iDEFENSE #300 du 01 septembre 2005 http://www.idefense.com/application/poi/display?id=300
- Mise à jour ``3Com Network Director 1.0 Critical Update 1'' pour Service Pack 2 & 3 : http://support.3com.com/software/3Com_network_director_v1_0_sp2_3_cu1.exe
- Mise à jour ``3Com Network Director 1.0 Critical Update 1'' pour version initiale et Service Pack 1 : http://support.3com.com/software/3Com_network_director_v1_0_sp0_1_cu1.exe
- Mise à jour ``3Com Network Director 2.0 Critical Update 1'' : http://support.3com.com/software/3Com_network_director_v2_0_cu1.exe
- Mise à jour ``3Com Network Supervisor 5.1 Critical Update 1'' : http://support.3com.com/software/3Com_network_supervisor_v5_1_cu1.exe http://support.3com.com/software/3Com_network_director_v5_1_cu1.exe
- Site Internet de l'éditeur : http://www.3com.fr
