Bulletin d'alerte Debian

DSA-2587-1 libcgi-pm-perl -- Injection d'en-tête HTTP

Date du rapport :
11 décembre 2012
Paquets concernés :
libcgi-pm-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 693421.
Dans le dictionnaire CVE du Mitre : CVE-2012-5526.
Plus de précisions :

Le module CGI pour Perl ne protège pas correctement les caractères de changement de ligne dans les en-têtes Set-Cookie et P3P, permettant éventuellement aux attaquants d'injecter des en-têtes HTTP.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.49-1squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.61-2.

Nous vous recommandons de mettre à jour vos paquets libcgi-pm-perl.