Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2265-1 perl

Debians sikkerhedsbulletin

DSA-2265-1 perl -- manglende spredning af tainted-flag

Rapporteret den:

20. jun 2011

Berørte pakker:

perl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 622817.
I Mitres CVE-ordbog: CVE-2011-1487.

Yderligere oplysninger:

Mark Martinec opdagede at Perl på ukorrekt vis tømmet tainted-flaget ved værdier returneret fra case-konverteringsfunktioner så som lc. Hermed blev der måske blotlagt allerede eksisterende sårbarheder i applikationer, som anvender disse funktioner ved behandling af inddata, der ikke er tillid til. På nuværende tidspunkt er der ikke kendskab til sådanne applikationer. Sådanne applikationer vil holde op med at fungere, når sikkerhedsopdateringen installeres, da taint-kontroller er designet til at forhindre sådan usikker anvendelse af data, der ikke er tillid til.

I den gamle stabile distribution (lenny), er dette problem rettet i version 5.10.0-19lenny4.

I den stabile distribution (squeeze), er dette problem rettet i version 5.10.1-17squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 5.10.1-20.

Vi anbefaler at du opgraderer dine perl-pakker.