セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2969-1 libemail-address-perl

Debian セキュリティ勧告

DSA-2969-1 libemail-address-perl -- セキュリティ更新

報告日時:

2014-06-27

影響を受けるパッケージ:

libemail-address-perl

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-0477, CVE-2014-4720.

詳細:

Bastian Blank さんが、RFC 2822 アドレスの解析や作成を行う Perl モジュール Email::Address にサービス拒否脆弱性を報告しています。Email::Address::parse は空の引用文字列解析時にかなりの時間を消費します。解析に Email::Address を利用しているアプリケーションに対して特別に細工した入力を提供できるリモートの攻撃者がこの欠陥を悪用し、 アプリケーションに対してサービス拒否攻撃を仕掛けることが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.895-1+deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1.905-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.905-1 で修正されています。

直ちに libemail-address-perl パッケージをアップグレードすることを勧めます。