VulDB: Novell GroupWise 8.0 User.interface Directory Traversal
Allgemein
scipID: 5631
Betroffen: Novell GroupWise 8.0
Veröffentlicht: 28.06.2012 (Tim Brown)
Risiko: 
problematisch
Eintrag: 87% komplett
Erstellt: 04.07.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Novell GroupWise 8.0 ausgemacht. Betroffen hiervon ist eine unbekannte Funktion. Durch das Manipulieren des Arguments User.interface mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Hiermit kann man Dateien lesen. Auswirken tut sich dies auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 28.06.2012 durch Tim Brown von Portcullis CSL als 7000708 in Form eines Advisorys (Website) publiziert. Das Advisory kann von novell.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 09.01.2012 mit CVE-2012-0410 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 8.0 Support Pack 3 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Novell hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (83495) und Secunia (SA49796) dokumentiert.CVSS
Base Score: 5.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Directory Traversal
Auswirkungen: Dateien lesen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: GroupWise 8.0 Support Pack 3
Timeline
09.01.2012 | CVE zugewiesen
28.06.2012 | Advisory veröffentlicht
28.06.2012 | Gegenmassnahme veröffentlicht
02.07.2012 | OSVDB Eintrag erstellt
04.07.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 7000708
Person: Tim Brown
Firma: Portcullis CSL
OSVDB: 83495
CVE: CVE-2012-0410 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49796
