Bulletin d'alerte Debian
DSA-2801-1 libhttp-body-perl -- Erreur de conception
- Date du rapport :
- 21 novembre 2013
- Paquets concernés :
- libhttp-body-perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 721634.
Dans le dictionnaire CVE du Mitre : CVE-2013-4407. - Plus de précisions :
-
Jonathan Dolle a signalé une erreur de conception dans HTTP::Body, un module Perl pour traiter les requêtes HTTP POST. L'analyseur du message multipart HTTP crée des fichiers temporaires qui conservent le suffixe du fichier envoyé. Un attaquant capable d'envoyer des fichiers à un service qui utilise HTTP::Body::Multipart pourrait éventuellement exécuter des commandes sur le serveur si ces noms de fichiers temporaires sont utilisés dans les commandes suivantes sans autres vérifications.
Cette mise à jour restreint les suffixes possibles utilisés pour la création des fichiers temporaires.
La distribution oldstable (Squeeze) n'est pas concernée par ce problème.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.11-1+deb7u1.
Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1.17-2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.17-2.
Nous vous recommandons de mettre à jour vos paquets libhttp-body-perl.