S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 décembre 2007
N° CERTA-2007-AVI-565
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Novell Groupwise

Gestion du document

Référence CERTA-2007-AVI-565
Titre Vulnérabilité dans Novell Groupwise
Date de la première version26 décembre 2007
Date de la dernière version26 décembre 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Novell Groupwise version 6.5.6 et les versions antérieures.

Résumé

Une vulnérabilité affectant Novell Groupwise a été découverte et permet l'exécution de code arbitraire à distance.

Description

Une vulnérablité dans le paramètre SRC la balise IMG de Novell Groupwise permet à une personne malveillante d'exécuter du code arbitraire à distance. Cette vulnérabilité est exploitable via un couriel spécialement conçu et à condition que l'option de prévisualisation en HTML soit active et que l'utilisateur réponde ou transfère le message malveillant.

Solution

Se référer au site Novell pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 décembre 2007
    version initiale.