Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en Novell GroupWise

Múltiples vulnerabilidades en Novell GroupWise

Por Deja un comentario

Se han anunciado múltiples vulnerabilidades en Novell GroupWise, que podrían permitir a un atacante realizar ataques de denegación de servicio, robar información sensible y comprometer los sistemas afectados. Se ven afectadas las versiones Novell GroupWise version 7.0, 7.01, 7.02, 7.03x, 8.0 y 8.01x.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

Dos de los problemas se deben a errores de validación de entradas en la interfaz http de los agentes GroupWise (Message Transfer Agent, Post Office Agent, Internet Agent, WebAccess Agent, Monitor Agent), que podría permitir la realización de ataques de cross site scripting o inyectar cabeceras arbitrarias.
Otras vulnerabilidades residen en errores de validación de entradas en el componente WebAccess, que podría permitir la realización de ataques de cross site scripting.

También se ha detectado un problema debido a que determinados parámetros que se pasan a GroupWise WebAccess exponen información de autenticación en el navegador del usuario.

Un último problema reside en un desbordamiento de búfer en el agente Internet cuando procesa peticiones específicamente construidas, que podría permitir a atacantes autenticados ejecutar código arbitrario.

Para Novell GroupWise versión 8.0 se recomienda instalar GroupWise 8.0 Support Pack 2 (SP2) o posterior.
Para Novell GroupWise versiones 7.x se recomienda instalar GroupWise 7.0 Support Pack 4 (SP4) o posterior.

Antonio Ropero
antonior@hispasec.com

Más información:

Cross-Site Scripting (XSS) Security Vulnerability in GroupWise Agent HTTP interfaces
http://www.novell.com/support/viewContent.do?externalId=7006371

Security Vulnerability (HTTP Header Injection) in GroupWise Agent HTTP Interfaces
http://www.novell.com/support/viewContent.do?externalId=7006372

Security Vulnerability – GroupWise WebAccess Potentially Exposes Authentication Information
http://www.novell.com/support/viewContent.do?externalId=7006373

GroupWise Internet Agent Stack Overflow Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006374

GroupWise WebAccess Javascript Cross-Site Scripting (XSS) Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006375

GroupWise WebAccess Cross-Site Scripting (XSS) Security Vulnerability on Replies
http://www.novell.com/support/viewContent.do?externalId=7006376

Security Vulnerability (XSS via Header Injection) in GroupWise WebAccess
http://www.novell.com/support/viewContent.do?externalId=7006377

GroupWise 8 WebAccess Javascript/HTML injection XSS Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006379

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.