Debians sikkerhedsbulletin

DSA-2801-1 libhttp-body-perl -- designfejl

Rapporteret den:
21. nov 2013
Berørte pakker:
libhttp-body-perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 721634.
I Mitres CVE-ordbog: CVE-2013-4407.
Yderligere oplysninger:

Jonathan Dolle rapporterede om en designfejl i HTTP::Body, et Perl-modul til behandling af data fra HTTP POST-forespørgsler. Fortolkeren af multipart-HTTP-body opretter midlertidige filer, hvilket bevarer filendelsen på den uploadede fil. En angriber med mulighed for at uploade filer til en tjeneste, der anvender HTTP::Body::Multipart, kunne potentielt udføre kommandoer på serveren, hvis disse midlertidige filnavne blev benyttet i efterfølgende kommandoer uden yderligere kontroller.

Opdateringen begrænser de mulige filendelser, som anvendes til at oprette midlertidige filer.

Den gamle stabile distribution (squeeze) er ikke påvirket af dette problem.

I den stabile distribution (wheezy), er dette problem rettet i version 1.11-1+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 1.17-2.

I den ustabile distribution (sid), er dette problem rettet i version 1.17-2.

Vi anbefaler at du opgraderer dine libhttp-body-perl-pakker.