CERTA-2002-AVI-063

Vulnerability from certfr_avis - Published: - Updated:

Gestor est un progiciel édité par la société GFI Progiciels.

Une fonction présente dans une bibliothèque javascript utilisée se connecte à plusieurs sites web pour délivrer des données à des fins de statistiques.

Description

Gestor est un progiciel destiné à la planification et à la gestion des temps (temps de travail par exemple). Il possède un module permettant d'effectuer des tâches d'administration et de consultation à distance au travers d'une interface web. Ce module utilise une bibliothèque javascript (overhelp.js) librement distribuée par Erik Bosrup contenant une fonction de traçage mise en œuvre par un site de mesure d'audience (www.nedstat.nl). Cette fonction appelle trois URLs dont l'une contenant l'adresse IP du réseau local (adresse IP de la machine sur laquelle réside le module de consultation) et une référence à l'application gestor (obtenues au travers de la variable REFERER).

  • http://www.bosrup.com/web/overlib/o2/tr.gif

  • http://www.nedstat.nl/cgi-bin/nedstat.gif?name=ol2t

  • http://www.nedstat.nl/cgi-bin/referstat.gif?name=ol2t&refer=http=/X.X.X.X/gestor/formplanninga_u.asp

    où X.X.X.X désigne l'adresse IP du serveur Gestor.

Aucune information nominative n'est toutefois transmise par ce procédé.

Contournement provisoire

Si l'application Gestor est sur une machine directement ou indirectement reliée à Internet, bloquer au niveau du pare-feu ou du relais HTTP l'adresse du serveur de statistiques (www.nedstat.nl) et du site d'Erik Bosrup (www.bosrup.com).

Solution

La société GFI a affirmé au CERTA que tous les clients utilisant Gestor version 2.21 étaient prévenus et que la vulnérabilité avait été corrigée sur leur plateforme. Contactez la société GFI si vous utilisez la version vulnérable du produit et que vous n'avez pas été contacté.

Gestor version 2.21.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eGestor version 2.21.\u003c/P\u003e",
  "content": "## Description\n\nGestor est un progiciel destin\u00e9 \u00e0 la planification et \u00e0 la gestion des\ntemps (temps de travail par exemple). Il poss\u00e8de un module permettant\nd\u0027effectuer des t\u00e2ches d\u0027administration et de consultation \u00e0 distance au\ntravers d\u0027une interface web. Ce module utilise une biblioth\u00e8que\njavascript (overhelp.js) librement distribu\u00e9e par Erik Bosrup contenant\nune fonction de tra\u00e7age mise en \u0153uvre par un site de mesure d\u0027audience\n(www.nedstat.nl). Cette fonction appelle trois URLs dont l\u0027une contenant\nl\u0027adresse IP du r\u00e9seau local (adresse IP de la machine sur laquelle\nr\u00e9side le module de consultation) et une r\u00e9f\u00e9rence \u00e0 l\u0027application\ngestor (obtenues au travers de la variable REFERER).\n\n-   http://www.bosrup.com/web/overlib/o2/tr.gif\n\n-   http://www.nedstat.nl/cgi-bin/nedstat.gif?name=ol2t\n\n-   http://www.nedstat.nl/cgi-bin/referstat.gif?name=ol2t\u0026refer=http=/X.X.X.X/gestor/formplanninga_u.asp\n\n    o\u00f9 X.X.X.X d\u00e9signe l\u0027adresse IP du serveur Gestor.\n\nAucune information nominative n\u0027est toutefois transmise par ce proc\u00e9d\u00e9.\n\n## Contournement provisoire\n\nSi l\u0027application Gestor est sur une machine directement ou indirectement\nreli\u00e9e \u00e0 Internet, bloquer au niveau du pare-feu ou du relais HTTP\nl\u0027adresse du serveur de statistiques (www.nedstat.nl) et du site d\u0027Erik\nBosrup (www.bosrup.com).\n\n## Solution\n\nLa soci\u00e9t\u00e9 GFI a affirm\u00e9 au CERTA que tous les clients utilisant Gestor\nversion 2.21 \u00e9taient pr\u00e9venus et que la vuln\u00e9rabilit\u00e9 avait \u00e9t\u00e9 corrig\u00e9e\nsur leur plateforme. Contactez la soci\u00e9t\u00e9 GFI si vous utilisez la\nversion vuln\u00e9rable du produit et que vous n\u0027avez pas \u00e9t\u00e9 contact\u00e9.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-063",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Publication de l\u0027adresse ip de machines contenant des donn\u00e9es nominatives"
    }
  ],
  "summary": "Gestor est un progiciel \u00e9dit\u00e9 par la soci\u00e9t\u00e9 GFI Progiciels.\n\nUne fonction pr\u00e9sente dans une biblioth\u00e8que javascript utilis\u00e9e se\nconnecte \u00e0 plusieurs sites web pour d\u00e9livrer des donn\u00e9es \u00e0 des fins de\nstatistiques.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans GESTOR 2.21",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.