Gravité : 2/4

Conséquences : lecture de données, déni de service du service

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 2

Date création : 21/08/2009

PRODUITS CONCERNÉS

– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque neon implémente les protocoles HTTP et WebDAV.
Elle comporte deux vulnérabilités.

Un attaquant peut construire des données XML complexes afin de
mener un déni de service dans les applications liées à neon. Cette
vulnérabilité est la même que VIGILANCE-VUL-8761
(https://vigilance.fr/arbre/1/8761) qui concerne APR. [grav:2/4 ;
BID-36080, CVE-2009-2473]

Un attaquant peut inviter la victime à se connecter sur un site
SSL employant un certificat X.509 avec un champ contenant un
caractère nul, afin de tromper la victime. Cette vulnérabilité est
similaire à VIGILANCE-VUL-8908 (https://vigilance.fr/arbre/1/8908),
même si le code source à l’origine de cette erreur est différent.
[grav:2/4 ; BID-36079, CVE-2009-2474]

CARACTÉRISTIQUES

Références : BID-36079, BID-36080, CVE-2009-2473, CVE-2009-2474,
FEDORA-2009-8794, FEDORA-2009-8815, VIGILANCE-VUL-8967

http://vigilance.fr/vulnerabilite/neon-deux-vulnerabilites-8967