5 nya fel gör Novell sårtbart för intrång
Adrian Pastor vid Procheckup har upptäckt fyra sårbarheter i Novell Groupwise Webaccess och Nick DeBaggis vid Zero Day Initiative har upptäckt en sårbarhet i Groupwise Internet Agent (GWIA).
- Webaccess är sårbart för en s.k. "Cross-Site Request Forgery" (CSRF). Sårbarheten medger att en angripare kan ta över en användares Groupwise-konto genom att lura användaren att besöka en riggad webbplats eller klicka på en riggad länk.
- Webaccess innehåller två s.k. "Cross-Site Scripting"-sårbarheter - en beständig (persistent) och en icke-beständig (non-persistent). Dessa två sårbarheter kan medge exekvering av godtycklig skriptkod i en användares webbläsare.
- Webaccess innehåller en sårbarhet i hanteringen av HTTP POST-förfrågningar. Sårbarheten kan användas av en angripare för att få Groupwise att läcka information.
- GWIA är sårbart för en buffertöverflödning. En angripare kan utnyttja sårbarheten för att exekvera godtycklig kod.
Påverkade versioner:
- Novell Groupwise 6.5x
- Novell Groupwise 7.0
- Novell Groupwise 7.01
- Novell Groupwise 7.02x
- Novell Groupwise 7.03
- Novell Groupwise 7.03HP1a
- Novell Groupwise 8.0
Källa: zerodayinitiative.com/Novell
Inlägg
Skicka en kommentar