Bulletin d'alerte Debian

DLA-320-1 libemail-address-perl -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2015
Paquets concernés :
libemail-address-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Pali Rohár a découvert une possible attaque par déni de service dans tous les logiciels qui utilisent le module Perl Email::Address pour rechercher une liste d'adresses de courriel dans une entrée de chaîne.

Par défaut, le module Email::Address, version v1.907 (et toutes les précédentes), essaie de comprendre les commentaires emboîtés dans une chaîne d'entrée avec deux niveaux de profondeur.

Avec des entrées contrefaites pour l'occasion, l'analyse des commentaires emboîtés peut devenir trop lente et provoquer une charge importante du processeur, geler l'application et aboutir à un déni de service.

Comme les chaînes d'entrée pour le module Email::Address proviennent de sources externes (par exemple d'un courriel envoyé par un attaquant), c'est un problème de sécurité qui affecte toutes les applications qui analysent des messages électroniques avec le module Perl Email::Address.

Avec cette mise à jour de libemail-address-perl, la valeur par défaut des commentaires emboîtés a été fixée à un niveau de profondeur (comme proposé par l'amont). Veuillez noter qu'il ne s'agit pas à proprement parler d'un correctif, mais seulement un contournement pour des entrées anormales avec commentaires emboîtés.