CERTA-2001-AVI-119
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut, à l'aide d'un simple navigateur et d'une URL mal formée, accéder via le web à tout fichier sur le même volume que le serveur GroupWise.
Description
Il existe une vulnérabilité dans certains exécutables Java du composant ``Web Access'' du serveur Novell GroupWise. Elle permet d'accéder à l'ensemble du volume par le biais de l'interface Web, en particulier aux fichiers de configuration.
La vulnérabilité est démontrée sous Windows 2000. Cependant, étant donné que seuls des programmes Java sont concernés, il est probable que toutes les plateformes soient concernées.
Solution
Appliquer le correctif de Novell pour GroupWise.
-
GroupWise 6
http://support.novell.com/servlet/tidfinder/noheader/2960443 -
GroupWise 5.5EP
http://support.novell.com/servlet/tidfinder/noheader/2960440
Novell GroupWise en versions 5.5EP (``Enhancement Pack'') et 6.
GroupWise est disponible sous Windows NT/2000, Win 95/98, Win 3.1 et Unix.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eNovell GroupWise en versions 5.5EP (``Enhancement Pack\u0027\u0027) et 6.\u003c/P\u003e \u003cP\u003eGroupWise est disponible sous Windows NT/2000, Win 95/98, Win 3.1 et Unix.\u003c/P\u003e",
"content": "## Description\n\nIl existe une vuln\u00e9rabilit\u00e9 dans certains ex\u00e9cutables Java du composant\n\\`\\`Web Access\u0027\u0027 du serveur Novell GroupWise. Elle permet d\u0027acc\u00e9der \u00e0\nl\u0027ensemble du volume par le biais de l\u0027interface Web, en particulier aux\nfichiers de configuration.\n\nLa vuln\u00e9rabilit\u00e9 est d\u00e9montr\u00e9e sous Windows 2000. Cependant, \u00e9tant donn\u00e9\nque seuls des programmes Java sont concern\u00e9s, il est probable que toutes\nles plateformes soient concern\u00e9es.\n\n## Solution\n\nAppliquer le correctif de Novell pour GroupWise.\n\n- GroupWise 6\n\n http://support.novell.com/servlet/tidfinder/noheader/2960443\n\n- GroupWise 5.5EP\n\n http://support.novell.com/servlet/tidfinder/noheader/2960440\n",
"cves": [],
"links": [
{
"title": "Avis de Foundstone post\u00e9 dans BugTraq",
"url": "http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=327"
}
],
"reference": "CERTA-2001-AVI-119",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-10-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Acc\u00e8s en lecture \u00e0 l\u0027ensemble des fichiers du volume h\u00e9bergeant le serveur"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut, \u00e0 l\u0027aide d\u0027un simple navigateur et\nd\u0027une URL mal form\u00e9e, acc\u00e9der via le web \u00e0 tout fichier sur le m\u00eame\nvolume que le serveur GroupWise.\n",
"title": "Vuln\u00e9rabilit\u00e9 de l\u0027interface Web du serveur Novell GroupWise",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste de diffusion BugTraq",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.