Debians sikkerhedsbulletin

DSA-2587-1 libcgi-pm-perl -- HTTP-headerindsprøjtning

Rapporteret den:
11. dec 2012
Berørte pakker:
libcgi-pm-perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 693421.
I Mitres CVE-ordbog: CVE-2012-5526.
Yderligere oplysninger:

Man opdagede at Perl-CGI-modul ikke på korrekt vis filtrerede LF-tegn i Set-Cookie- og P3P-headere, hvilket potentielt gjorde det muligt for angribere at indsprøjte HTTP-headere.

I den stabile distribution (squeeze), er dette problem rettet i version 3.49-1squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 3.61-2.

Vi anbefaler at du opgraderer dine libcgi-pm-perl-pakker.