Bulletin d'alerte Debian
DSA-2586-1 perl -- Plusieurs vulnérabilités
- Date du rapport :
- 11 décembre 2012
- Paquets concernés :
- perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 689314, Bogue 693420, Bogue 695223.
Dans le dictionnaire CVE du Mitre : CVE-2012-5195, CVE-2012-5526. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl :
- CVE-2012-5195
L'opérateur
x
pourrait forcer l'interpréteur Perl à planter si de très longues chaînes ont été créées. - CVE-2012-5526
Le module CGI ne protège pas correctement les caractères de changement de ligne dans les en-têtes Set-Cookie et P3P.
De plus, cette mise à jour ajoute un avertissement à la documentation de Storable indiquant que ce paquet n'est pas approprié pour la désérialisation de données non fiables.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.10.1-17squeeze4.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.14.2-16.
Nous vous recommandons de mettre à jour vos paquets perl.
- CVE-2012-5195