Рекомендация Debian по безопасности

DSA-2801-1 libhttp-body-perl -- ошибка проектирования

Дата сообщения:
21.11.2013
Затронутые пакеты:
libhttp-body-perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 721634.
В каталоге Mitre CVE: CVE-2013-4407.
Более подробная информация:

Джонатан Доул сообщил об ошибке проектирования в HTTP::Body, модуле Perl для обработки данных из запросов HTTP POST. Составной синтаксический анализатор тела HTTP создаёт временные файлы, которые сохраняют суффикс загруженного файла. Атакующий, способный загрузить файлы в службу, использующую HTTP::Body::Multipart, потенциально может выполнить команды на сервере в случае, когда имена временных файлов используются в последующих командах без дополнительной проверки.

Данное обновление ограничивает возможные суффиксы, используемые для создания временных файлов.

Предыдущий стабильный выпуск (squeeze) не подвержен этой проблеме.

В стабильном выпуске (wheezy) эта проблемы была исправлена в версии 1.11-1+deb7u1.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.17-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.17-2.

Мы рекомендуем обновить пакеты libhttp-body-perl.