Passer au contenu

Alerte à la faille de sécurité chez Novell

L’éditeur vient d’avertir les utilisateurs de GroupWise de l’existence d’un problème de sécurité dans les versions 5.5 EP et 6. Un correctif est déjà disponible, mais Novell ne fournit aucun détail. Explication officielle : c’est pour protéger les clients.

Depuis une semaine, les administrateurs de GroupWise, la solution de travail collaboratif de Novell, ont du pain sur la planche. Ils ont été avertis par Novell de l’existence d’une faille de sécurité dans certaines versions du produit, qui touche aussi bien les serveurs que les postes clients. Sont concernées les moutures GroupWise 5.5 Enhancement Pack (unpatched, SP1, SP2 et SP3) et GroupWise 6. Les solutions précédentes (GroupWise 4.1 à 5.5) ne sont pas affectées.L’éditeur a dédié une partie de son site de support technique au correctif du problème, baptisé Padlock Fix. Administrateurs et utilisateurs des versions de GroupWise concernées peuvent télécharger sur ce site les programmes nécessaires pour la mise à jour. Mais ils n’y trouveront aucune autre explication que le mode opératoire pour installer le correctif.

Ne rien expliquer pour mieux protéger les clients

Selon le quotidien en ligne InfoWorld.com, la faille de sécurité, qui serait assez facile à déclencher, est plutôt sérieuse. Elle permettrait à l’utilisateur de base du produit d’accéder aux fichiers et aux disques des serveurs en réseau avec Groupwise, même lorsqu’il ne dispose que d’un niveau d’autorisation faible.Ces détails ne sont toutefois pas confirmés par l’éditeur. Chez Novell France, on explique seulement qu’il s’agit d’une faille potentielle, sans autre précision. Elle a été détectée le 6 août dernier chez un client américain, lors de tests sur le produit. N’affectant que des versions récentes de GroupWise, son impact serait limité.Les forums Web du support technique de l’éditeur apportent un élément d’explication à ce mutisme. ” Si vous publiez les détails, les “opportunistes” peuvent se mettre immédiatement au travail. Nous avons choisi l’approche qui nous semble la meilleure pour nos clients : leur dire qu’il y a un problème, et leur donner le plus de temps possible pour implémenter le correctif avant que les détails ne deviennent publics “, explique Paul Turner, Responsable Produit chez Novell.L’éditeur a ainsi tout fait pour retarder au maximum la divulgation des détails, limitant même la circulation d’informations au sein de l’entreprise. “Il y a plusieurs ingénieurs clés dans l’équipe de développement de GroupWise à qui on n’a pas fourni d’explications “, poursuit Paul Turner. Rien d’étonnant, donc, à ce que ni en France, ni en Europe, aucune explication n’ait apparemment été fournie par la maison mère.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jean-Marc Gimenez