Рекомендация Debian по безопасности

DSA-2587-1 libcgi-pm-perl -- инъекция заголовка HTTP

Дата сообщения:
11.12.2012
Затронутые пакеты:
libcgi-pm-perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 693421.
В каталоге Mitre CVE: CVE-2012-5526.
Более подробная информация:

Было обнаружено, что модуль CGI для Perl не фильтрует символы LF в заголовках Set-Cookie и P3P, что позволяет злоумышленникам вводить заголовки HTTP.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.49-1squeeze2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.61-2.

Рекомендуется обновить пакеты libcgi-pm-perl.