Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2587-1 libcgi-pm-perl

Bulletin d'alerte Debian

DSA-2587-1 libcgi-pm-perl -- Injection d'en-tête HTTP

Date du rapport :

11 décembre 2012

Paquets concernés :

libcgi-pm-perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 693421.
Dans le dictionnaire CVE du Mitre : CVE-2012-5526.

Plus de précisions :

Le module CGI pour Perl ne protège pas correctement les caractères de changement de ligne dans les en-têtes Set-Cookie et P3P, permettant éventuellement aux attaquants d'injecter des en-têtes HTTP.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.49-1squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.61-2.

Nous vous recommandons de mettre à jour vos paquets libcgi-pm-perl.