Risque

  • Déni de service à distance ;
  • attaque de type homme-au-milieu.

Systèmes affectés

neon versions 0.28.5 et antérieures.

Résumé

Deux vulnérabilités dans neon permettent de réaliser des attaques de type homme-au-milieu ou un déni de service à distance.

Description

Deux vulnérabilités ont été découvertes dans neon :

  • un déni service est possible, via des fichiers au format XML ou un serveur DAV malveillant, si la bibliothèque expat est utilisée (CVE-2009-2473) ;
  • le mécanisme de vérification des certificats utilisés lors de sessions SSL peut être contourné, ce qui permet des attaques de type homme-au-milieu (CVE-2009-2474).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation