Debian-Sicherheitsankündigung
DSA-371-1 perl -- Site-übergreifendes Skripting
- Datum des Berichts:
- 11. Aug 2003
- Betroffene Pakete:
- perl
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8231.
In Mitres CVE-Verzeichnis: CVE-2003-0615. - Weitere Informationen:
-
Eine Site-übergreifende Skripting-Verwundbarkeit ist in der start_form() Funktion in CGI.pm enthalten. Diese Funktion gibt von Benutzern kontrollierte Daten im action-Attribut eines Form-Elements aus, ohne sie zu entschärfen, was es einem entfernten Benutzer erlaubt, willkürliche Web-Skripte im Zusammenhang der erzeugten Seite auszuführen. Jedes Programm, das diese Funktion des CGI.pm Moduls verwendet, kann davon betroffen sein.
Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 5.6.1-8.3 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 5.8.0-19 behoben.
Wir empfehlen Ihnen, Ihr perl-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3.dsc
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3.diff.gz
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/p/perl/libcgi-fast-perl_5.6.1-8.3_all.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-doc_5.6.1-8.3_all.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-modules_5.6.1-8.3_all.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-doc_5.6.1-8.3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_alpha.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_arm.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_i386.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_ia64.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_hppa.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_m68k.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_mips.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_mipsel.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_powerpc.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_s390.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.3_sparc.deb
- http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.