Se ha descubierto una vulnerabilidad en GroupWise WebAccess cuando se
ejecuta con un servidor web Apache para NetWare. Un usuario remoto
podría tener acceso a todos los directorios y archivos del servidor
web.
Novell ha informado de un problema de seguridad en la configuración
por defecto de GroupWise WebAcess con Apache Web Server 1.3x para
NetWare. Los sistemas que ejecuten GroupWise 6 o 6.5 WebAccess en
NetWare con Apache 1.3x pueden verse afectados si Apache se carga
utilizando el archivo GWAPACHE.CONF. La compañía afirma que otros
servidores web no deberían verse afectados por este problema.
La dirección para la descarga de una versión que no presenta esta
vulnerabilidad (6.5 SP2 WebAccess) es la siguiente:
http://support.novell.com/filefinder
Para evitar el acceso no autorizado a GroupWise WebAccess Server,
se puede editar los permisos de GWAPACHE.CONF, para ello tendrá
que editar el archivo con las siguientes instrucciones:
Options FollowSymLinks
AllowOverride None
Order deny,allow
deny from all
La configuración por defecto incluye:
# First, we configure the «default» to be a very restrictive set of
# permissions.
#
Options FollowSymLinks
AllowOverride None
roman@hispasec.com
Más información:
Potential security issue with GroupWise WebAccess 6.0 and 6.5
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10091330.htm
GroupWise WebAccess With Apache on NetWare Has Configuration Flaw
That May Grant Web Access to Remote Users
http://www.securitytracker.com/alerts/2004/Mar/1009417.html
Deja un comentario