Рекомендация Debian по безопасности
DSA-3501-1 perl -- обновление безопасности
- Дата сообщения:
- 01.03.2016
- Затронутые пакеты:
- perl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-2381.
- Более подробная информация:
-
Стефан Шезалас обнаружил ошибку в коде обработки окружения в Perl. Perl предоставляет хэш-переменную пространства Perl, %ENV, в которой можно просмотреть переменные окружения. Если переменная дважды встречается в envp, то в %ENV попадает только последнее значение, хотя getenv возвращает первое. Механизм безопасности Perl применяется к значению в %ENV, но не к другой части окружения. Это приводит к неоднозначному окружению, вызывая передачу переменных окружения подпроцессам, несмотря на защиты, предполагаемые проверкой заразности.
Данное обновление Perl изменяет поведение следующим образом:
- %ENV заселяется первой переменной окружения, которая возвращается getenv.
- Дублирующие записи окружения удаляются.
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.14.2-21+deb7u3.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.20.2-3+deb8u4.
В нестабильном выпуске (sid) эта проблема будет исправлена в версии 5.22.1-8.
Рекомендуется обновить пакеты perl.