Összefoglaló
A Novell GroupWise több olyan sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak egyes biztonsági megszorítások megkerülésére, cross-site scripting
és script beszúrásos támadások lefolytatására vagy a sérülékeny rendszer feltörésére.
Leírás
A Novell GroupWise több olyan sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak egyes biztonsági megszorítások megkerülésére, cross-site scripting
és script beszúrásos támadások lefolytatására vagy a sérülékeny rendszer feltörésére.
- A feladat kezelő rendszer hibái kihasználhatóak felhasználói fiókokhoz történő jogosulatlan hozzáféréshez.
- A stílus kifejezéseknek átadott bemenet felhasználás előtti ellenőrzése nem megfelelő. Ez felhasználható tetszőleges HTML és script kód beszúrására, amelyek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan futnak le, ha a felhasználó egy különlegesen kialakított üzenetet tekint meg.
- Egyes, beazonosítatlan bemenetek felhasználás előtti ellenőrzése nem megfelelő. Ez felhasználható tetszőleges HTML és script kód beszúrására, amelyek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan futnak le, ha a felhasználó egy különlegesen kialakított üzenetet tekint meg.
- A login oldal (“gw/webacc”) “GWAP.version” és “User.Theme” paramétereinek átadott bemenet nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- A Novell GroupWise Internet Agent részletesen nem ismertetett hibája felhasználható tetszőleges kód lefuttatására speciálisan elkészített SMTP kéréseken keresztül.
- A Novell GroupWise Internet Agent email címek feldolgozásakor fellépő hibája
felhasználható tetszőleges kód lefuttatására speciálisan elkészített SMTP kéréseken keresztül.
A sérülékenységeket a 7.03 HP3 és 8.0 HP2 előtti verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35177
Egyéb referencia: packetstorm.linuxsecurity.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Egyéb referencia: www.vupen.com
CVE-2009-1634 - NVD CVE-2009-1634
CVE-2009-1635 - NVD CVE-2009-1635
CVE-2009-1636 - NVD CVE-2009-1636
CVE-2009-1762 - NVD CVE-2009-1762
