S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 mai 2004
N° CERTA-2004-AVI-171
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Neon

Gestion du document

Référence CERTA-2004-AVI-171
Titre Vulnérabilité de Neon
Date de la première version21 mai 2004
Date de la dernière version30 juillet 2004
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Les versions de neon antérieures à la version 0.24.6.

Résumé

Une vulnérabilité présente dans Neon permet à un utilisateur mal intentionné, via une date malicieusement construite, d'exécuter du code arbitraire à distance ou de réaliser un déni de service sur le système vulnérable.

Description

Neon est une bibliothèque WebDAV utilisée par un grand nombre d'applications WebDAV.

Une vulnérabilité de type « buffer overflow » dans la fonction ne_rfc1036_parse() de Neon, utilisée pour le traitement de la date, permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.

Solution

Appliquer la mise à jour (cf. section documentation).

Documentation

Gestion détaillée du document

    le 21 mai 2004
    version initiale.
    le 24 mai 2004
    ajout de l'avis Debian cadaver et des avis BSD.
    le 01 juin 2004
    ajout des références aux bulletins de sécurité GLSA-200405-13 et GLSA200405-25 de Gentoo.
    le 08 juin 2004
    ajout de la référence au bulletin de sécurité GLSA-200406-03 de Gentoo.
    le 09 juin 2004
    ajout de la référence au bulletin de sécurité de SUSE.
    le 30 juillet 2004
    ajout de la référence au bulletin de sécurité de Mandrake.