Bulletin d'alerte Debian

DSA-2265-1 perl -- Manque de propagation d'indication de souillure

Date du rapport :
20 juin 2011
Paquets concernés :
perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 622817.
Dans le dictionnaire CVE du Mitre : CVE-2011-1487.
Plus de précisions :

Mark Martinec a découvert que Perl ne nettoie pas correctement l'indication de souillure (tainted flag) sur les valeurs renvoyées par les fonctions de conversion de casse comme lc. Cela pourrait révéler des vulnérabilités préexistantes dans les applications qui utilisent ces fonctions lors du traitement d'entrées non fiables. Aucune application connue n'est concernée. De telles applications arrêteront de fonctionner une fois cette mise à jour appliquée car les vérifications de souillure sont conçues pour éviter ce type d'utilisation dangereuse de données d'entrées non fiables.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 5.10.0-19lenny4.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.10.1-17squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 5.10.1-20.

Nous vous recommandons de mettre à jour vos paquets perl.