Vigil@nce : ScreenOS, obtention d’informations via about.html
avril 2009 par Vigil@nce
Un attaquant peut demander la page about.html du WebUI afin
d’obtenir des informations sur le ScreenOS.
– Gravité : 1/4
– Conséquences : lecture de données
– Provenance : client intranet
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 27/04/2009
PRODUITS CONCERNÉS
– NetScreen ScreenOS
DESCRIPTION DE LA VULNÉRABILITÉ
L’accès à l’interface web d’administration WebUI nécessite une
authentification.
Cependant, la page "about.html" ("à propos") est accessible sans
authentification. De plus, cette page contient la version du
ScreenOS.
Un attaquant non authentifié, et autorisé à se connecter sur le
serveur web de WebUI, peut donc obtenir des informations
concernant le système.
CARACTÉRISTIQUES
– Références : BID-34710, VIGILANCE-VUL-8672
– Url : http://vigilance.fr/vulnerabilite/ScreenOS-obtention-d-informations-via-about-html-8672
Pour modifier vos préférences email (fréquence, seuil de gravité, format) :
https://vigilance.fr/?action=2041549901&langue=1