Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

Serveurs Novell Netware 5.1 et 6.

Résumé

Un utilisateur distant mal intentionné peut, par le biais d'une requête HTTP judicieusement composée, exécuter du code arbitraire sur le serveur vulnérable ou réaliser un déni de service.

Description

Une vulnérabilité a été découverte dans l'interpréteur PERL du serveur Web de Novell (Netware Entreprise Web Server).

Une mauvaise gestion des requêtes HTTP à destination de l'interpréteur PERL par le module CGI2PERL.NLM peut entraîner un débordement de pile, permettant à un utilisateur distant de réaliser un déni de service, voire l'exécution de code arbitraire avec les privilèges du serveur web (Admin).

Solution

Appliquer le correctif disponible sur le site de l'éditeur :

http://support.novell.com/servlet/filedownload/ftf/cgiperl71903.exe

Documentation

Bulletin de sécurité Novell :

http://support.novell.com/cgi-bin/search/searchtid.cgi?/2966549.htm

Note du CERT CC :

http://www.kb.cert.org/vuls/id/185593

Référence CVE CAN-2003-0562 :

https://www.cve.org/CVERecord?id=CAN-2003-0562