Novell GroupWise 多個漏洞
風險: 中度風險
在 Novell GroupWise 發現多個漏洞,遠端攻擊者可利用漏洞繞過保安限制、進行釣魚攻擊、造成阻斷服務或控制受影響的系統。
1. 由於處理經由 SMTP 的特製電郵地址時,Novell GroupWise Internet Agent (GWIA) 會產生緩衝區滿溢錯誤,未經驗證的遠端攻擊者可以 SYSTEM 權限來執行任意程式碼。
2. 由於處理某些 SMTP 請求時,Novell GroupWise Internet Agent (GWIA) 會產生緩衝區滿溢錯誤,未經驗證的遠端攻擊者可以 SYSTEM 權限來執行任意程式碼。
3. GroupWise WebAccess 存在輸入驗證錯誤,攻擊者可利用 Javascript 塗改登入網頁,來阻止使用者登入 WebAccess。
4. GroupWise WebAccess 在攔截指令碼時產生錯誤,攻擊者可利用漏洞存取已驗證的使用者郵箱及轉發資料或請求到惡意網站。
5. GroupWise WebAccess 的 session management 機制存在錯誤,允許攻擊者存取已驗證的使用者帳戶。
6. 由於處理 style expressions 時,GroupWise WebAccess 存在輸入驗證錯誤,攻擊者可透過特製的訊息及附帶的 HTML 檔案, 重新導向使用者到惡意網站及/或轉發資料或請求到惡意網站。
受影響之系統或技術
- Novell GroupWise 7.03 HP2 版本及之前的版本
- Novell GroupWise 8.0.0 HP1 版本及之前的版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
安裝 Novell GroupWise 7.03 Hot Patch 3 (HP3) 及 GroupWise 8.0 Hot Patch 2 (HP2) 或之後的版本。
漏洞識別碼
資料來源
分享至