CERTA-2003-AVI-201
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité présente dans le moteur de recherche SPIRIT de la société Technologie permet à un utilisateur mal intentionné d'avoir un accès non autorisé à des données.
Description
Une vulnérabilité de type "traversée d'arborescence" sur un script CGI du moteur de recherche SPIRIT permet à un utilisateur mal intentionné, par l'intermédiaire d'une URL malicieusement construite, de visualiser des fichiers situés hors de l'arborescence du serveur web.
Contournement provisoire
Dans l'attente d'appliquer les correctifs, désactiver le moteur de recherche SPIRIT.
Solution
Pour les clients sous maintenance un correctif est disponible pour la version 2.2.3 fourni sur demande au service de Hot-Line (cf section documentation).
La version 2.2.3 distribuée à partir du 2 décembre 2003 corrige cette vulnérabilité.
Moteur de recherche SPIRIT de la société Technologie version 2.2.3 et antérieures sur les plates-formes Windows, Solaris, Linux, Aix.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eMoteur de recherche \u003cTT\u003eSPIRIT\u003c/TT\u003e de la soci\u00e9t\u00e9 Technologie version 2.2.3 et ant\u00e9rieures sur les plates-formes Windows, Solaris, Linux, Aix.\u003c/p\u003e",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de type \"travers\u00e9e d\u0027arborescence\" sur un script CGI\ndu moteur de recherche SPIRIT permet \u00e0 un utilisateur mal intentionn\u00e9,\npar l\u0027interm\u00e9diaire d\u0027une URL malicieusement construite, de visualiser\ndes fichiers situ\u00e9s hors de l\u0027arborescence du serveur web.\n\n## Contournement provisoire\n\nDans l\u0027attente d\u0027appliquer les correctifs, d\u00e9sactiver le moteur de\nrecherche SPIRIT.\n\n## Solution\n\nPour les clients sous maintenance un correctif est disponible pour la\nversion 2.2.3 fourni sur demande au service de Hot-Line (cf section\ndocumentation).\n\nLa version 2.2.3 distribu\u00e9e \u00e0 partir du 2 d\u00e9cembre 2003 corrige cette\nvuln\u00e9rabilit\u00e9.\n",
"cves": [],
"links": [],
"reference": "CERTA-2003-AVI-201",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-11-25T00:00:00.000000"
},
{
"description": "pr\u00e9cision sur la disponibilit\u00e9 de la version corrig\u00e9e.",
"revision_date": "2004-06-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le moteur de recherche SPIRIT de la\nsoci\u00e9t\u00e9 Technologie permet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027avoir un\nacc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9 du moteur de recherche SPIRIT de la soci\u00e9t\u00e9 Technologie",
"vendor_advisories": [
{
"published_at": null,
"title": "Vuln\u00e9rabilit\u00e9 d\u00e9couverte par N. Gr\u00e9goire",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.