Risque
- Exécution de code arbitraire ;
- Déni de service.
Systèmes affectés
Serveurs Novell Netware 5.1 et 6.
Résumé
Un utilisateur distant mal intentionné peut, par le biais d'une requête HTTP judicieusement composée, exécuter du code arbitraire sur le serveur vulnérable ou réaliser un déni de service.
Description
Une vulnérabilité a été découverte dans l'interpréteur PERL du serveur Web de Novell (Netware Entreprise Web Server).
Une mauvaise gestion des requêtes HTTP à destination de l'interpréteur PERL par le module CGI2PERL.NLM peut entraîner un débordement de pile, permettant à un utilisateur distant de réaliser un déni de service, voire l'exécution de code arbitraire avec les privilèges du serveur web (Admin).
Solution
Appliquer le correctif disponible sur le site de l'éditeur :
http://support.novell.com/servlet/filedownload/ftf/cgiperl71903.exe
Documentation
Bulletin de sécurité Novell :
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2966549.htm
Note du CERT CC :
http://www.kb.cert.org/vuls/id/185593
Référence CVE CAN-2003-0562 :
https://www.cve.org/CVERecord?id=CAN-2003-0562