Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte
Systèmes affectés
- Novell GroupWise version 8.0 disposant d'un correctif antérieur au Hot Patch 2.
- Novell GroupWise versions 7.0 à 7.03 disposant d'un correctif antérieur au Hot Patch 3 ;
Résumé
De multiples vulnérabilités de Novell GroupWise permettent à un individu distant d'exécuter du code arbitraire, de contourner la politique de sécurité et d'injecter du code de manière indirecte.
Description
Plusieurs vulnérabilités affectent Novell GroupWise :
- les premières vulnérabilités concernent GroupWise WebAccess, elles permettent d'injecter du code indirecte ou de contourner la politique de sécurité ;
- les dernières vulnérabilités concernent GroupWise Internet Agent, elles permettent l'exécution de code arbitraire à distance.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Novell 7003266 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003266
- Bulletin de sécurité Novell 7003267 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003267
- Bulletin de sécurité Novell 7003268 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003268
- Bulletin de sécurité Novell 7003271 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003271
- Bulletin de sécurité Novell 7003272 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003272
- Bulletin de sécurité Novell 7003273 du 21 mai 2009 : http://www.novell.com/support/viewContent.do?externalId=7003273
- Référence CVE CVE-2009-1634 https://www.cve.org/CVERecord?id=CVE-2009-1634
- Référence CVE CVE-2009-1635 https://www.cve.org/CVERecord?id=CVE-2009-1635
- Référence CVE CVE-2009-1636 https://www.cve.org/CVERecord?id=CVE-2009-1636
