{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Novell GroupWise versions 6.x ;","product":{"name":"N/A","vendor":{"name":"Novell","scada":false}}},{"description":"Novell GroupWise versions 8.x ;","product":{"name":"N/A","vendor":{"name":"Novell","scada":false}}},{"description":"Novell GroupWise versions 7.x ;","product":{"name":"N/A","vendor":{"name":"Novell","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nCinq vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les diff\u00e9rentes versions de\nNovell GroupWise :\n\n-   la premi\u00e8re vuln\u00e9rabilit\u00e9 est due \u00e0 un mauvais contr\u00f4le des valeurs\n    pass\u00e9es aux param\u00e8tres Userid et Library.queryText. L'exploitation\n    de cette vuln\u00e9rabilit\u00e9 permet d'effectuer des attaques par injection\n    de code indirecte ;\n-   la deuxi\u00e8me vuln\u00e9rabilit\u00e9 est due \u00e0 un mauvais contr\u00f4le du HTML\n    contenu dans les mails. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e afin\n    d'effectuer des attaques par injection de code indirecte ;\n-   la troisi\u00e8me vuln\u00e9rabilit\u00e9 est cons\u00e9cutive \u00e0 un manque de contr\u00f4le\n    des actions permises \u00e0 l'utilisateur. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre\n    exploit\u00e9e afin de contourner la politique de s\u00e9curit\u00e9 mise en place\n    ;\n-   la quatri\u00e8me vuln\u00e9rabilit\u00e9 r\u00e9sulte d'un mauvais traitement des\n    requ\u00eates de type POST. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e afin\n    de contourner la politique de s\u00e9curit\u00e9 mise en place ;\n-   la derni\u00e8re vuln\u00e9rabilit\u00e9 r\u00e9sulte d'une erreur de type off-by-one\n    dans le traitement de certaines requ\u00eates HTTP. L'exploitation de\n    cette vuln\u00e9rabilit\u00e9 permet d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2009-0272","url":"https://www.cve.org/CVERecord?id=CVE-2009-0272"},{"name":"CVE-2009-0274","url":"https://www.cve.org/CVERecord?id=CVE-2009-0274"},{"name":"CVE-2009-0273","url":"https://www.cve.org/CVERecord?id=CVE-2009-0273"}],"links":[{"title":"Bulletins de mise \u00e0 jour Novell GroupWise :","url":"http://www.novell.com/support/viewContent.do?externalId=7002322"},{"title":"Bulletins de mise \u00e0 jour Novell GroupWise :","url":"http://www.novell.com/support/viewContent.do?externalId=7002320"},{"title":"Bulletins de mise \u00e0 jour Novell GroupWise :","url":"http://www.novell.com/support/viewContent.do?externalId=7002319"},{"title":"Bulletins de mise \u00e0 jour Novell GroupWise :","url":"http://www.novell.com/support/viewContent.do?externalId=7002502"},{"title":"Bulletins de mise \u00e0 jour Novell GroupWise :","url":"http://www.novell.com/support/viewContent.do?externalId=7002321"}],"reference":"CERTA-2009-AVI-044","revisions":[{"description":"version initiale.","revision_date":"2009-02-03T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les diff\u00e9rentes\nversions de Novell GroupWise. L'exploitation de ces vuln\u00e9rabilit\u00e9s\npermet d'effectuer diverses actions malveillantes, dont l'ex\u00e9cution de\ncode arbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Novell GroupWise","vendor_advisories":[{"published_at":null,"title":"Bulletins de s\u00e9curit\u00e9 Novell du 02 f\u00e9vrier 2009","url":null},{"published_at":null,"title":"Bulletins de s\u00e9curit\u00e9 Novell du 30 janvier 2009","url":null}]}