S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 28 juin 2004
No CERTA-2003-AVI-201-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité sur le
moteur de recherche SPIRIT de la société
Technologie
Tableau 1: gestion du document
| Référence |
CERTA-2003-AVI-201-001 |
| Titre |
Vulnérabilité du
moteur de recherche SPIRIT de la
société Technologie |
| Date de la première
version |
25 novembre 2003 |
| Date de la dernière
version |
28 juin 2004 |
| Source(s) |
Vulnérabilité
découverte par N. Grégoire |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Atteinte à la confidentialité des données.
Moteur de recherche SPIRIT de la société
Technologie version 2.2.3 et antérieures sur les
plates-formes Windows, Solaris, Linux, Aix.
Une vulnérabilité présente dans le moteur
de recherche SPIRIT de la société
Technologie permet à un utilisateur mal
intentionné d'avoir un accès non autorisé
à des données.
Une vulnérabilité de type "traversée
d'arborescence" sur un script CGI du moteur de recherche
SPIRIT permet à un utilisateur mal
intentionné, par l'intermédiaire d'une URL
malicieusement construite, de visualiser des fichiers
situés hors de l'arborescence du serveur web.
Dans l'attente d'appliquer les correctifs, désactiver le
moteur de recherche SPIRIT.
Pour les clients sous maintenance un correctif est disponible
pour la version 2.2.3 fourni sur demande au service de Hot-Line
(cf section documentation).
La version 2.2.3 distribuée à partir du 2
décembre 2003 corrige cette
vulnérabilité.
Contact de la société Technologie :
- Téléphone de la Hot-Line : 01 49 04 70
70
- Mél : spirit.support@technologies-group.com
- 25 novembre 2003
- version initiale.
- 28 juin 2004
- précision sur la disponibilité de la
version corrigée.
CERTA
2012-01-04