Рекомендация Debian по безопасности

DLA-320-1 libemail-address-perl -- обновление безопасности LTS

Дата сообщения:
30.09.2015
Затронутые пакеты:
libemail-address-perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

Пали Рохар обнаружил потенциальную атаку с целью вызова отказа в обслуживании на любое ПО, использующее модуль Email::Address для Perl для выполнения грамматического разбора входных строк списка адресов электронной почты.

По умолчанию модуль Email::Address версии v1.907 (и более ранних) пытается определить вложенные комментарии во входной строке с уровнем глубины 2.

С помощью специально сформированных входных данных грамматический разбор вложенных комментариев может стать слишком медленным и может приводить к высокой нагрузке на ЦП, что приводит к зависанию приложения и отказу в обслуживании.

Поскольку входные строки для модуля Email::Address происходят из внешнего источника (например, из сообщения электронной почты, отправленного злоумышленником), постольку эта проблема безопасности влияет на все приложения, выполняющие грамматический разбор сообщений электронной почты с помощью модуля Email::Address для Perl.

В данной загрузке libemail-address-perl по умолчанию значение вложенных комментариев установлено в уровень глубины 1 (что было предложено авторами основной ветки разработки). Заметьте, что это не полноценное исправление, а только временное обходное решение для патологичных входных данных с вложенными комментариями.