セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2265-1 perl

Debian セキュリティ勧告

DSA-2265-1 perl -- tainted フラグ伝播のミス

報告日時:

2011-06-20

影響を受けるパッケージ:

perl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 622817.
Mitre の CVE 辞書: CVE-2011-1487.

詳細:

Mark Martinec さんにより、Perl が lc などの大文字小文字の変換処理で 誤って値の tainted フラグをクリアしていることが発見されました。この 欠陥のため、信用できない入力ソースをこれらの関数で処理しているアプリ ケーションで、内在する脆弱性が攻撃可能となる可能性があります。このよ うなアプリケーションでは、このセキュリティ更新適用後には taint チェ ックにより信用できない入力データの安全でない利用が禁じられるため、動 作しなくなる可能性があります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 5.10.0-19lenny4 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 5.10.1-17squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、この問題はバージョン 5.10.1-20 で修正されています。

直ぐに perl パッケージをアップグレードすることを勧めます。