CERTA-2001-AVI-119
Vulnerability from certfr_avis
Un utilisateur mal intentionné peut, à l'aide d'un simple navigateur et d'une URL mal formée, accéder via le web à tout fichier sur le même volume que le serveur GroupWise.
Description
Il existe une vulnérabilité dans certains exécutables Java du composant ``Web Access'' du serveur Novell GroupWise. Elle permet d'accéder à l'ensemble du volume par le biais de l'interface Web, en particulier aux fichiers de configuration.
La vulnérabilité est démontrée sous Windows 2000. Cependant, étant donné que seuls des programmes Java sont concernés, il est probable que toutes les plateformes soient concernées.
Solution
Appliquer le correctif de Novell pour GroupWise.
-
GroupWise 6
http://support.novell.com/servlet/tidfinder/noheader/2960443 -
GroupWise 5.5EP
http://support.novell.com/servlet/tidfinder/noheader/2960440
Novell GroupWise en versions 5.5EP (``Enhancement Pack'') et 6.
GroupWise est disponible sous Windows NT/2000, Win 95/98, Win 3.1 et Unix.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eNovell GroupWise en versions 5.5EP (``Enhancement Pack\u0027\u0027) et 6.\u003c/P\u003e \u003cP\u003eGroupWise est disponible sous Windows NT/2000, Win 95/98, Win 3.1 et Unix.\u003c/P\u003e",
"content": "## Description\n\nIl existe une vuln\u00e9rabilit\u00e9 dans certains ex\u00e9cutables Java du composant\n\\`\\`Web Access\u0027\u0027 du serveur Novell GroupWise. Elle permet d\u0027acc\u00e9der \u00e0\nl\u0027ensemble du volume par le biais de l\u0027interface Web, en particulier aux\nfichiers de configuration.\n\nLa vuln\u00e9rabilit\u00e9 est d\u00e9montr\u00e9e sous Windows 2000. Cependant, \u00e9tant donn\u00e9\nque seuls des programmes Java sont concern\u00e9s, il est probable que toutes\nles plateformes soient concern\u00e9es.\n\n## Solution\n\nAppliquer le correctif de Novell pour GroupWise.\n\n- GroupWise 6\n\n http://support.novell.com/servlet/tidfinder/noheader/2960443\n\n- GroupWise 5.5EP\n\n http://support.novell.com/servlet/tidfinder/noheader/2960440\n",
"cves": [],
"initial_release_date": "2001-10-19T00:00:00",
"last_revision_date": "2001-10-19T00:00:00",
"links": [
{
"title": "Avis de Foundstone post\u00e9 dans BugTraq",
"url": "http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=327"
}
],
"reference": "CERTA-2001-AVI-119",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-10-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Acc\u00e8s en lecture \u00e0 l\u0027ensemble des fichiers du volume h\u00e9bergeant le serveur"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut, \u00e0 l\u0027aide d\u0027un simple navigateur et\nd\u0027une URL mal form\u00e9e, acc\u00e9der via le web \u00e0 tout fichier sur le m\u00eame\nvolume que le serveur GroupWise.\n",
"title": "Vuln\u00e9rabilit\u00e9 de l\u0027interface Web du serveur Novell GroupWise",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste de diffusion BugTraq",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.