Novell schließt kritische Lücken in GroupWise
Novell hat Updates für GroupWise 7.x und 8.x veröffentlicht, die sechs Sicherheitslücken schließen sollen. Zwei der Lücken beruhen auf Buffer Overflows im GroupWise Internet Agent, die sich aus der Ferne ausnutzen lassen.
- Daniel Bachfeld
Novell hat Updates für GroupWise 7.x und 8.x veröffentlicht, die sechs Sicherheitslücken schließen sollen. Zwei der Lücken beruhen auf Buffer Overflows im GroupWise Internet Agent (GWIA) beim Lesen von Mails über SMTP sowie der Verarbeitung bestimmter SMTP-Requests. Angreifer sollen die Fehler aus der Ferne ohne Authentifizierung ausnutzen können, um Code in ein System zu schleusen und mit SYSTEM-Rechten zu starten.
Bei den anderen Fehlern handelt es sich um Schwachstellen in Zusammenhang mit WebAccess, durch die Angreifer etwa durch XSS oder Lücken im Session Management Zugriff auf das Mailkonto erhalten. Die Fehler sind laut Fehlerbericht in Novell GroupWise 7.03 HP2 und vorgehenden sowie GroupWise 8.0.0 HP1 und vorhergehenden Versionen zu finden. In GroupWise 7.03 Hot Patch 3 (HP3) und GroupWise 8.0 Hot Patch 2 (HP2) sind die Lücken geschlossen.
Siehe dazu auch:
- Novell GroupWise Buffer Overflow and Cross Site Scripting Vulnerabilities, Fehlerbericht von VUPEN
(dab)
