Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

    Les versions de neon antérieures à la version 0.24.6.

    Résumé

    Une vulnérabilité présente dans Neon permet à un utilisateur mal intentionné, via une date malicieusement construite, d'exécuter du code arbitraire à distance ou de réaliser un déni de service sur le système vulnérable.

    Description

    Neon est une bibliothèque WebDAV utilisée par un grand nombre d'applications WebDAV.

    Une vulnérabilité de type « buffer overflow » dans la fonction ne_rfc1036_parse() de Neon, utilisée pour le traitement de la date, permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.

    Solution

    Appliquer la mise à jour (cf. section documentation).

    Documentation