Avis du CERT-FR

Objet: Vulnérabilité dans Novell GroupWise

Gestion du document

Référence	CERTA-2008-AVI-335
Titre	Vulnérabilité dans Novell GroupWise
Date de la première version	25 juin 2008
Date de la dernière version	25 juin 2008
Source(s)	Notes de mises à jour GroupWise du 18 et 19 juin 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte (cross-site scripting).

Systèmes affectés

Novell GroupWise 7.0.x

Résumé

Une vulnérabilité de type injection de code indirecte affecte Novell GroupWise.

Description

Une vulnérabilité a été identifiée dans l'interface simple de WebAccess dans Novell GroupWise. Certains paramètres non spécifiés ne seraient pas assez filtrés, ce qui permettrait à une personne malintentionnée d'effectuer des injections de code indirecte. L'interface standard de WebAccess n'est pas affectée.

Solution

Se référer aux bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Notes de la mise à jour de GroupWise du 18 juin 2008 (Windows) :

http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5028200.html

Notes de la mise à jour de GroupWise du 19 juin 2008 (Linux) :

http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5028303.html

Gestion détaillée du document

le 25 juin 2008: version initiale.