Рекомендация Debian по безопасности

DSA-3501-1 perl -- обновление безопасности

Дата сообщения:
01.03.2016
Затронутые пакеты:
perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-2381.
Более подробная информация:

Стефан Шезалас обнаружил ошибку в коде обработки окружения в Perl. Perl предоставляет хэш-переменную пространства Perl, %ENV, в которой можно просмотреть переменные окружения. Если переменная дважды встречается в envp, то в %ENV попадает только последнее значение, хотя getenv возвращает первое. Механизм безопасности Perl применяется к значению в %ENV, но не к другой части окружения. Это приводит к неоднозначному окружению, вызывая передачу переменных окружения подпроцессам, несмотря на защиты, предполагаемые проверкой заразности.

Данное обновление Perl изменяет поведение следующим образом:

  1. %ENV заселяется первой переменной окружения, которая возвращается getenv.
  2. Дублирующие записи окружения удаляются.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.14.2-21+deb7u3.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.20.2-3+deb8u4.

В нестабильном выпуске (sid) эта проблема будет исправлена в версии 5.22.1-8.

Рекомендуется обновить пакеты perl.