Avis du CERTA : Vulnérabilité dans Novell Groupwise
décembre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Novell Groupwise version 6.5.6 et les versions antérieures.
3 Résumé
Une vulnérabilité affectant Novell Groupwise a été découverte et permet
l’exécution de code arbitraire à distance.
4 Description
Une vulnérablité dans le paramètre SRC la balise IMG de Novell Groupwise permet
à une personne malveillante d’exécuter du code arbitraire à distance. Cette
vulnérabilité est exploitable via un couriel spécialement conçu et à condition
que l’option de prévisualisation en HTML soit active et que l’utilisateur
réponde ou transfère le message malveillant.
5 Solution
Se référer au site Novell pour l’obtention des correctifs (cf. section
Documentation).
6 Documentation
* Mise à jour Novell Groupwise :
http://download.novell.com/Download?buildid=VH6T0VgdwWw
* Référence CVE CVE-2007-6435 :