CERTA-2004-AVI-171
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité présente dans Neon permet à un utilisateur mal intentionné, via une date malicieusement construite, d'exécuter du code arbitraire à distance ou de réaliser un déni de service sur le système vulnérable.
Description
Neon est une bibliothèque WebDAV utilisée par un grand nombre d'applications WebDAV.
Une vulnérabilité de type « buffer overflow » dans la fonction ne_rfc1036_parse() de Neon, utilisée pour le traitement de la date, permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.
Solution
Appliquer la mise à jour (cf. section documentation).
Les versions de neon antérieures à la version 0.24.6.
Impacted products
| Vendor | Product | Description |
|---|
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eLes versions de \u003cTT\u003eneon\u003c/TT\u003e ant\u00e9rieures \u00e0 la version 0.24.6.\u003c/p\u003e",
"content": "## Description\n\nNeon est une biblioth\u00e8que WebDAV utilis\u00e9e par un grand nombre\nd\u0027applications WebDAV.\n\nUne vuln\u00e9rabilit\u00e9 de type \u00ab buffer overflow \u00bb dans la fonction\nne_rfc1036_parse() de Neon, utilis\u00e9e pour le traitement de la date,\npermet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser un d\u00e9ni de service\nou d\u0027ex\u00e9cuter du code arbitraire.\n\n## Solution\n\nAppliquer la mise \u00e0 jour (cf. section documentation).\n",
"cves": [],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:049 du 19 mai 2004 :",
"url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:049"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 GLSA 200405-25 de Gentoo du 30 mai 2004 pour tla :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200405-25.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 GLSA 200406-03 de Gentoo du 05 juin 2004 pour sitecopy :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200406-03.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 e-matters :",
"url": "http://security.e-matters.de/advisories/062004.html"
},
{
"title": "R\u00e9f\u00e9rence CVE CAN-2004-0398 :",
"url": "https://www.cve.org/CVERecord?id=CAN-2004-0398"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-506 du 19 mai 2004 :",
"url": "http://www.debian.org/security/2004/dsa-506"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 GLSA 200405-13 de Gentoo du 20 mai 2004 pour neon :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200405-13.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2004:015 du 09 juin 2004 pour tla, sitecopy et cadaver :",
"url": "http://www.suse.com/de/security/2004_15_cvs.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 pour le paquetage OpenBSD neon et cadaver du 19 mai 2004 :",
"url": "http://www.vuxml.org/openbsd/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour neon du 19 mai 2004 :",
"url": "http://www.vuxml.org/freebsd/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2004-191 du 19 mai 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-191.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:078 du 29 juillet 2004 :",
"url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:078"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD neon :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/neon/README.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-507 du 19 mai 2004 :",
"url": "http://www.debian.org/security/2004/dsa-507"
}
],
"reference": "CERTA-2004-AVI-171",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-05-21T00:00:00.000000"
},
{
"description": "ajout de l\u0027avis Debian cadaver et des avis BSD.",
"revision_date": "2004-05-24T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 GLSA-200405-13 et GLSA200405-25 de Gentoo.",
"revision_date": "2004-06-01T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 GLSA-200406-03 de Gentoo.",
"revision_date": "2004-06-08T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de SUSE.",
"revision_date": "2004-06-09T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Mandrake.",
"revision_date": "2004-07-30T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans Neon permet \u00e0 un utilisateur mal\nintentionn\u00e9, via une date malicieusement construite, d\u0027ex\u00e9cuter du code\narbitraire \u00e0 distance ou de r\u00e9aliser un d\u00e9ni de service sur le syst\u00e8me\nvuln\u00e9rable.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Neon",
"vendor_advisories": []
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…