Bulletin d'alerte Debian
DSA-3501-1 perl -- Mise à jour de sécurité
- Date du rapport :
- 1er mars 2016
- Paquets concernés :
- perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-2381.
- Plus de précisions :
-
Stephane Chazelas a découvert un bogue dans la gestion de l'environnement dans Perl. Ce dernier fournit une variable de hachage dans l'espace Perl, %ENV, dans lequel les variables d'environnement peuvent être recherchées. Si une variable apparait deux fois dans envp, seule la dernière valeur apparaitra dans %ENV, mais getenv devrait renvoyer la première. Le mécanisme de sécurité de Perl pour éviter la contamination serait appliqué pour la valeur dans %ENV, mais pas dans le reste de l'environnement. Cela pourrait conduire à un environnement ambigu, permettant aux variables d'environnement d'être propagées aux sous-processus, en dépit des protections supposément offertes par le dispositif anti-contamination (taint checking).
Avec cette mise à jour, le comportement change de façon suivante :
- %ENV est remplie avec la première variable d'environnement, comme getenv le renverrait ;
- les entrées d'environnement en double sont supprimées.
Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 5.14.2-21+deb7u3.
Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.20.2-3+deb8u4.
Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 5.22.1-8.
Nous vous recommandons de mettre à jour vos paquets perl.