Bulletin d'alerte Debian

DSA-2801-1 libhttp-body-perl -- Erreur de conception

Date du rapport :
21 novembre 2013
Paquets concernés :
libhttp-body-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 721634.
Dans le dictionnaire CVE du Mitre : CVE-2013-4407.
Plus de précisions :

Jonathan Dolle a signalé une erreur de conception dans HTTP::Body, un module Perl pour traiter les requêtes HTTP POST. L'analyseur du message multipart HTTP crée des fichiers temporaires qui conservent le suffixe du fichier envoyé. Un attaquant capable d'envoyer des fichiers à un service qui utilise HTTP::Body::Multipart pourrait éventuellement exécuter des commandes sur le serveur si ces noms de fichiers temporaires sont utilisés dans les commandes suivantes sans autres vérifications.

Cette mise à jour restreint les suffixes possibles utilisés pour la création des fichiers temporaires.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.11-1+deb7u1.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1.17-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.17-2.

Nous vous recommandons de mettre à jour vos paquets libhttp-body-perl.