Vulnerabilidad en GroupWise WebAccess 6.0 y 6.5

ovell ha informado de un problema de seguridad en la configuración por defecto de GroupWise WebAcess con Apache Web Server 1.3x para NetWare. Los sistemas que ejecuten GroupWise 6 o 6.5 WebAccess en NetWare con Apache 1.3x pueden verse afectados si Apache se carga utilizando el archivo GWAPACHE.CONF. La compañía afirma que otros servidores web no deberían verse afectados por este problema.

La dirección para la descarga de una versión que no presenta esta
vulnerabilidad (6.5 SP2 WebAccess) es la siguiente:
http://support.novell.com/filefinder

Para evitar el acceso no autorizado a GroupWise WebAccess Server,
se puede editar los permisos de GWAPACHE.CONF, para ello tendrá
que editar el archivo con las siguientes instrucciones:

<Directory "/">
Options FollowSymLinks
AllowOverride None
Order deny,allow
deny from all
</Directory>

La configuración por defecto incluye:
# First, we configure the "default" to be a very restrictive set of
# permissions.
#
<Directory "/">
Options FollowSymLinks
AllowOverride None
</Directory>



Más Información:

Potential security issue with GroupWise WebAccess 6.0 and 6.5
http://support.novell.com/cgibin/search/searchtid.cgi?/10091330.htm

GroupWise WebAccess With Apache on NetWare Has Configuration FlawThat May Grant Web Access to Remote Users
http://www.securitytracker.com/alerts/2004/Mar/1009417.html