Debians sikkerhedsbulletin
DSA-3501-1 perl -- sikkerhedsopdatering
- Rapporteret den:
- 1. mar 2016
- Berørte pakker:
- perl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-2381.
- Yderligere oplysninger:
-
Stephane Chazelas opdagede en fejl i miljøhåndteringen i Perl. Perl stiller i Perl-rummet hashvariablen %ENV til rådighed, for at kunne slå miljøvariabler op. Hvis en variabel optræder to gange i envp, vises kun den sidste værdi i %ENV, mens getenv returnerer den første. Perls taint-sikkerhedsmekanisme udføres på værdien i %ENV, men ikke til anden del af miljøet. Det kunne medføre et tvetydigt miljø, som forårsagede at miljøvariabler blev sendt videre til underprocesser, på trods af beskyttelserne, der burde stilles til rådighed af taint-kontrollen.
Med denne opdatering ændres Perls virkemåde til det følgende:
- %ENV udfyldes med den første miljøvariabel, den samme som getenv returnerer.
- Gentagne forekomster i miljøet fjernes.
I den gamle stabile distribution (wheezy), er dette problem rettet i version 5.14.2-21+deb7u3.
I den stabile distribution (jessie), er dette problem rettet i version 5.20.2-3+deb8u4.
I den ustabile distribution (sid), vil dette problem blive løst i version 5.22.1-8.
Vi anbefaler at du opgraderer dine perl-pakker.