发布日期：2004-03-13
更新日期：2004-03-19

受影响系统：

Novell Groupwise 6.5 SP2
Novell Groupwise 6.5 SP1
Novell Groupwise 6.5
Novell Groupwise 6.0 SP4
Novell Groupwise 6.0 SP3
Novell Groupwise 6.0 SP2
Novell Groupwise 6.0 SP1
Novell Groupwise 6.0

描述：

---

BUGTRAQ  ID: 9864
CVE(CAN) ID: CVE-2004-2336

Novell GroupWise是Novell出品的一种目录服务系统。

其中Novell GroupWise WebAccess包含配置错误，远程攻击者可以利用这个漏洞未授权远程访问WebAccess服务器。

在NetWare上使用Apache 1.3x web服务器的GroupWise 6或6.5 WebAccess的系统存在此漏洞，当Apache装载使用配置不当的GWAPACHE.CONF文件时，可导致未授权远程访问WebAccess服务器。

<*来源：Novell
  
  链接：http://support.novell.com/cgi-bin/search/searchtid.cgi?/10091330.htm
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 编辑GWAPACHE.CONF文件，默认情况下下面一段为：

# First, we configure the "default" to be a very restrictive set of
# permissions.
#
<Directory "/">
Options FollowSymLinks
AllowOverride None
</Directory>

必须更改为：

<Directory "/">
Options FollowSymLinks
AllowOverride None
Order deny,allow
deny from all
</Directory>

厂商补丁：

Novell
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.novell.com/security-alerts

浏览次数：2926
严重程度：0（网友投票）