セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2641-2 perl

Debian セキュリティ勧告

DSA-2641-2 perl -- ハッシュ再構築の欠陥

報告日時:

2013-03-20

影響を受けるパッケージ:

perl, libapache2-mod-perl2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 702296, バグ 702821.
Mitre の CVE 辞書: CVE-2013-1667.

詳細:

Yves Orton さんが、Perl のハッシュ再構築コードに欠陥を発見しました。 この欠陥を悪用して、任意のユーザ入力をハッシュキーとして使用するコードに対してサービス拒否攻撃を実行することが可能です。具体的には、攻撃者がハッシュキーペアを作成し、 メモリを使い果たすことによるサービス拒否を引き起こすことが可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題は perl パッケージのバージョン 5.10.1-17squeeze6 および libapache2-mod-perl2 のバージョン 2.0.4-7+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は perl パッケージのバージョン 5.14.2-19 および libapache2-mod-perl2 のバージョン 2.0.7-3 で修正されています。

直ちに perl および libapache2-mod-perl2 パッケージをアップグレードすることを勧めます。