Bulletin d'alerte Debian
DSA-2587-1 libcgi-pm-perl -- Injection d'en-tête HTTP
- Date du rapport :
- 11 décembre 2012
- Paquets concernés :
- libcgi-pm-perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 693421.
Dans le dictionnaire CVE du Mitre : CVE-2012-5526. - Plus de précisions :
-
Le module CGI pour Perl ne protège pas correctement les caractères de changement de ligne dans les en-têtes Set-Cookie et P3P, permettant éventuellement aux attaquants d'injecter des en-têtes HTTP.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.49-1squeeze2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.61-2.
Nous vous recommandons de mettre à jour vos paquets libcgi-pm-perl.