English

◀◁ 뒤로 취약점ID 21466 위험도 30 포트 80, ... 프로토콜 TCP 분류 Servlet 상세설명 해당 Novell GroupWise WebAccess는 인증 우회 취약점에 취약하다. GroupWise는 Novell 사에 의해 배포되고 유지 보수되는 상용 그룹웨어(groupware) 패키지이다. Novell GroupWise WebAccess는 'webacc' 서블릿(servlet)을 액세스하여 예기치 않은 인수 데이터를 제공함으로써, 원격지의 공격자가 인증을 우회하고 프로그램에 대한 비인가된 액세스를 얻어낼 수 있게 해 준다. 인증 시도가 실패할 때, 영향을 받는 서블릿은 'error' URI 인수를 통하여 건네진 에러 페이지를 호출한다. 이 인수에 'webacc' 값을 주어 준다면, 인증이 우회되어져 공격자는 영향을 받는 웹 어플리케이션에 대한 액세스를 얻어낼 수 있게 된다. * 참고 사이트: http://www.securityfocus.com/archive/1/387566 * 영향을 받는 플랫폼: Novell, Inc., Novell GroupWise WebAccess Any version Novell, Inc., Novell NetWare Any version Microsoft Windows Any version Novell NetWare Any version Linux Any version 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 임시 조치방법으로, Novell 사는 제품 버전 정보가 유출될 것이 유려되는 고객들은 'login.htt' 그리고 'about.htt' 템플릿(template) 파일들을 편집하여 이 정보를 삭제할 것을 권하고 있다. 이것은 'login.htt'의 라인 313 그리고 'about.htt'의 라인 37을 삭제함으로써 가능하다. 더 자세한 사항에 대해서는 http://www.securityfocus.com/advisories/7881 의 권고안에서 볼 수 있다. 관련 URL (CVE) 관련 URL 12285 (SecurityFocus) 관련 URL 18954 (ISS)