Säkerhetsbulletin från Debian

DSA-2801-1 libhttp-body-perl -- designfel

Rapporterat den:
2013-11-21
Berörda paket:
libhttp-body-perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 721634.
I Mitres CVE-förteckning: CVE-2013-4407.
Ytterligare information:

Jonathan Dolle rapporterade ett designfel i HTTP::Body, en Perlmodul för att behandla data från HTTP POST-förfrågningar. Tolken av HTTP body multipart skapar temporära filer som behåller filändelsen från den uppladdade filen. En angripare som kan ladda upp filer till en tjänst som använder HTTP::Body::Multipart kunde potentiellt exekvera kommandon på servern om de temporära filnamnen används i efterföljande kommandon utan ytterligare kontroller.

Denna uppdatering begränsar de möjliga suffixen som används för de skapade temporära filerna.

Den gamla stabila utgåvan (Squeeze) påverkas inte av detta problem.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.11-1+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.17-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.17-2.

Vi rekommenderar att ni uppgraderar era libhttp-body-perl-paket.