Bulletin d'alerte Debian

DSA-2641-2 perl -- Défaut de rehachage

Date du rapport :
20 mars 2013
Paquets concernés :
perl, libapache2-mod-perl2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 702296, Bogue 702821.
Dans le dictionnaire CVE du Mitre : CVE-2013-1667.
Plus de précisions :

Yves Orton a découvert un défaut dans le code de rehachage de Perl. Ce défaut pourrait être exploité pour réaliser une attaque par déni de service contre du code qui utilise une entrée arbitraire d'utilisateur pour les clefs de hachage. En particulier, un attaquant pourrait créer un ensemble de clefs de hachage provoquant un déni de service par épuisement de mémoire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.10.1-17squeeze6 de perl et la version 2.0.4-7+squeeze1 de libapache2-mod-perl2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 5.14.2-19 de perl et la version 2.0.7-3 de libapache2-mod-perl2.

Nous vous recommandons de mettre à jour vos paquets perl et libapache2-mod-perl2.