Vigil@nce : neon, deux vulnérabilités
août 2009 par Vigil@nce
Deux vulnérabilités de neon permettent à un attaquant de mener un
déni de service ou de tromper la victime.
Gravité : 2/4
Conséquences : lecture de données, déni de service du service
Provenance : document
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 21/08/2009
PRODUITS CONCERNÉS
– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque neon implémente les protocoles HTTP et WebDAV.
Elle comporte deux vulnérabilités.
Un attaquant peut construire des données XML complexes afin de
mener un déni de service dans les applications liées à neon. Cette
vulnérabilité est la même que VIGILANCE-VUL-8761
(https://vigilance.fr/arbre/1/8761) qui concerne APR. [grav:2/4 ;
BID-36080, CVE-2009-2473]
Un attaquant peut inviter la victime à se connecter sur un site
SSL employant un certificat X.509 avec un champ contenant un
caractère nul, afin de tromper la victime. Cette vulnérabilité est
similaire à VIGILANCE-VUL-8908 (https://vigilance.fr/arbre/1/8908),
même si le code source à l’origine de cette erreur est différent.
[grav:2/4 ; BID-36079, CVE-2009-2474]
CARACTÉRISTIQUES
Références : BID-36079, BID-36080, CVE-2009-2473, CVE-2009-2474,
FEDORA-2009-8794, FEDORA-2009-8815, VIGILANCE-VUL-8967
http://vigilance.fr/vulnerabilite/neon-deux-vulnerabilites-8967