(pressebox) Heilbronn, 28.09.2011 - Cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor mehreren Cross-Site-Scripting-Schwachstellen in der Novell GroupWise WebAccess Software. Diese wurden von Beratern der cirosec GmbH im Rahmen ihrer Research-Tätigkeit gefunden.
Novell GroupWise ist eine Groupware-Software zum Verwalten von E-Mails, Terminen, Adressen und Dokumenten. Betroffen von den Schwachstellen sind die Versionen 8.0.0 bis 8.0.2. Ein Hotfix wurde von Novell bereits veröffentlicht und die Behebung der Schwachstelle von Secunia heute bestätigt.
Die Schwachstellen beruhen auf einem Fehler bei der Verarbeitung bestimmter Parameter im Kalender und Adressbuch der Software. Sie ermöglichen es einem Angreifer, JavaScript-Code im Browser des WebAccess-Anwenders auszuführen. Dadurch können Login- oder Session-Informationen gestohlen werden. Somit ist es Angreifern möglich, fremde Accounts vollständig zu übernehmen, d.h. E-Mails, Kalendereinträge und weitere Dokumente zu lesen oder E-Mails in falschem Namen zu versenden.
Ein detailliertes technisches Advisory finden Sie auf unserer Webseite unter https://www.cirosec.de/fileadmin/pdf/veroeffentlichungen/ADVISORY_Novell_GroupWise_Schwachstelle.pdf.
Keine Kommunikationsobjekte vorhanden.
