Une faille critique dans Mono divulgue les sources des applications ASP.NET

Mono 2.8.2 corrige une vulnérabilité d’une gravité inédite. En effet, elle permet de voir le contenu d’une application ASP.NET à distance. La mise à jour est vivement conseillée.

Les responsables du projet Mono, un clone open source de la plate-forme .NET parrainé par Novell, nous informent qu’une mise à jour de ce produit est aujourd’hui accessible.

Mono 2.8.2 corrige une faille critique qui concerne les applications ASP.NET. Lors d’une requête, et sous certaines conditions spécifiques, une application ASP.NET peut ainsi retourner son propre code source, ou le contenu de tout autre fichier présent dans le dossier qui lui est réservé. Les pirates pourront donc aisément consulter le code source des applications web, afin d’en découvrir les failles (erreurs de programmation, mots de passe fixés en dur dans le code source, etc.). Un problème d’autant plus grave que Mono est particulièrement populaire dans le monde des applications ASP.NET, essentiellement pour des raisons de coût et la possibilité de l’utiliser sous Linux.

Il conviendra donc de mettre à jour ce logiciel sans tarder, la menace étant d’importance. Pour information, les versions précédentes de Mono 2.x ne semblent pas concernées par ce problème, qui ne touche que la branche 2.8. Notez enfin que les développeurs profitent de cette sortie pour améliorer l’implémentation de ParallelFX et corriger quelques petits bogues relevés au sein de Mono 2.8.1.

Lire aussi : Patch Tuesday : Y a-t-il un vrai pilote dans l’impression ?