Säkerhetsbulletin från Debian

DSA-2265-1 perl -- saknad propagering av tainted-flaggan

Rapporterat den:
2011-06-20
Berörda paket:
perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 622817.
I Mitres CVE-förteckning: CVE-2011-1487.
Ytterligare information:

Mark Martinec upptäckte att Perl felaktigt rensar tainted-flaggan på värden som returneras av funktioner för omvandling mellan stora och små bokstäver som lc. Detta kan avslöja existerande sårbarheter i applikationer som använder dessa funktioner vid behandling av opålitligt indata. Inga sådana applikationer är kända för närvarande. Sådana applikationer kommer att sluta fungera när denna säkerhetsuppdatering appliceras eftersom taint-kontroller designas för att förhindra sådan osäker användning av opålitlig indata.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 5.10.0-19lenny4.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 5.10.1-17squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i version 5.10.1-20.

Vi rekommenderar att ni uppgraderar era perl-paket.