CERTA-2003-AVI-201
Vulnerability from certfr_avis
Une vulnérabilité présente dans le moteur de recherche SPIRIT de la société Technologie permet à un utilisateur mal intentionné d'avoir un accès non autorisé à des données.
Description
Une vulnérabilité de type "traversée d'arborescence" sur un script CGI du moteur de recherche SPIRIT permet à un utilisateur mal intentionné, par l'intermédiaire d'une URL malicieusement construite, de visualiser des fichiers situés hors de l'arborescence du serveur web.
Contournement provisoire
Dans l'attente d'appliquer les correctifs, désactiver le moteur de recherche SPIRIT.
Solution
Pour les clients sous maintenance un correctif est disponible pour la version 2.2.3 fourni sur demande au service de Hot-Line (cf section documentation).
La version 2.2.3 distribuée à partir du 2 décembre 2003 corrige cette vulnérabilité.
Moteur de recherche SPIRIT de la société Technologie version 2.2.3 et antérieures sur les plates-formes Windows, Solaris, Linux, Aix.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eMoteur de recherche \u003cTT\u003eSPIRIT\u003c/TT\u003e de la soci\u00e9t\u00e9 Technologie version 2.2.3 et ant\u00e9rieures sur les plates-formes Windows, Solaris, Linux, Aix.\u003c/p\u003e",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de type \"travers\u00e9e d\u0027arborescence\" sur un script CGI\ndu moteur de recherche SPIRIT permet \u00e0 un utilisateur mal intentionn\u00e9,\npar l\u0027interm\u00e9diaire d\u0027une URL malicieusement construite, de visualiser\ndes fichiers situ\u00e9s hors de l\u0027arborescence du serveur web.\n\n## Contournement provisoire\n\nDans l\u0027attente d\u0027appliquer les correctifs, d\u00e9sactiver le moteur de\nrecherche SPIRIT.\n\n## Solution\n\nPour les clients sous maintenance un correctif est disponible pour la\nversion 2.2.3 fourni sur demande au service de Hot-Line (cf section\ndocumentation).\n\nLa version 2.2.3 distribu\u00e9e \u00e0 partir du 2 d\u00e9cembre 2003 corrige cette\nvuln\u00e9rabilit\u00e9.\n",
"cves": [],
"initial_release_date": "2003-11-25T00:00:00",
"last_revision_date": "2004-06-28T00:00:00",
"links": [],
"reference": "CERTA-2003-AVI-201",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-11-25T00:00:00.000000"
},
{
"description": "pr\u00e9cision sur la disponibilit\u00e9 de la version corrig\u00e9e.",
"revision_date": "2004-06-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le moteur de recherche SPIRIT de la\nsoci\u00e9t\u00e9 Technologie permet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027avoir un\nacc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9 du moteur de recherche SPIRIT de la soci\u00e9t\u00e9 Technologie",
"vendor_advisories": [
{
"published_at": null,
"title": "Vuln\u00e9rabilit\u00e9 d\u00e9couverte par N. Gr\u00e9goire",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.