Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Les versions de neon antérieures à la version 0.24.6.

Résumé

Une vulnérabilité présente dans Neon permet à un utilisateur mal intentionné, via une date malicieusement construite, d'exécuter du code arbitraire à distance ou de réaliser un déni de service sur le système vulnérable.

Description

Neon est une bibliothèque WebDAV utilisée par un grand nombre d'applications WebDAV.

Une vulnérabilité de type « buffer overflow » dans la fonction ne_rfc1036_parse() de Neon, utilisée pour le traitement de la date, permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.

Solution

Appliquer la mise à jour (cf. section documentation).

Documentation