Debian セキュリティ勧告

DSA-2641-2 perl -- ハッシュ再構築の欠陥

報告日時:
2013-03-20
影響を受けるパッケージ:
perl, libapache2-mod-perl2
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 702296, バグ 702821.
Mitre の CVE 辞書: CVE-2013-1667.
詳細:

Yves Orton さんが、Perl のハッシュ再構築コードに欠陥を発見しました。 この欠陥を悪用して、任意のユーザ入力をハッシュキーとして使用するコードに対してサービス拒否攻撃を実行することが可能です。具体的には、攻撃者がハッシュキーペアを作成し、 メモリを使い果たすことによるサービス拒否を引き起こすことが可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題は perl パッケージのバージョン 5.10.1-17squeeze6 および libapache2-mod-perl2 のバージョン 2.0.4-7+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は perl パッケージのバージョン 5.14.2-19 および libapache2-mod-perl2 のバージョン 2.0.7-3 で修正されています。

直ちに perl および libapache2-mod-perl2 パッケージをアップグレードすることを勧めます。