Objet: Vulnérabilités dans Novell GroupWise

Résumé

Plusieurs vulnérabilités affectent Novell GroupWise 8. Les plus importantes permettent à un utilisateur distant non authentifié d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités affectent Novell GroupWise 8 :

• des défauts dans les traitements des valeurs multiples, des chaînes de caractères et des nombres dans le champ Content-Type des messages reçus permettent à un utilisateur distant non authentifié d'exécuter du code arbitraire à distance ;
• une erreur dans le composant IMAP permet à un utilisateur distant non authentifié d'exécuter du code arbitraire à distance, quand le service IMAP est activé ;
• une autre erreur dans ce composant permet à un utilisateur distant authentifié d'exécuter du code arbitraire à distance, quand le service IMAP est activé ;
• le composant WebPublisher permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (XSS) ;
• l'interface HTTP des agents GroupWise présente un défaut qui permet à un utilisateur malveillant non authentifié d'exécuter du code arbitraire à distance ;
• une erreur dans GroupWise WebAccess Agent et Document Viewer Agent permet à un utilisateur distant non authentifié malveillant de récupérer n'importe quel fichier présent sur le serveur GroupWise WebAccess.

Solution

L'application du Hot Patch 8.02 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).