Информация по безопасности / 2016 / Информация о безопасности -- DSA-3501-1 perl

Рекомендация Debian по безопасности

DSA-3501-1 perl -- обновление безопасности

Дата сообщения:

01.03.2016

Затронутые пакеты:

perl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2381.

Более подробная информация:

Стефан Шезалас обнаружил ошибку в коде обработки окружения в Perl. Perl предоставляет хэш-переменную пространства Perl, %ENV, в которой можно просмотреть переменные окружения. Если переменная дважды встречается в envp, то в %ENV попадает только последнее значение, хотя getenv возвращает первое. Механизм безопасности Perl применяется к значению в %ENV, но не к другой части окружения. Это приводит к неоднозначному окружению, вызывая передачу переменных окружения подпроцессам, несмотря на защиты, предполагаемые проверкой заразности.

Данное обновление Perl изменяет поведение следующим образом:

1. %ENV заселяется первой переменной окружения, которая возвращается getenv.
2. Дублирующие записи окружения удаляются.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.14.2-21+deb7u3.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.20.2-3+deb8u4.

В нестабильном выпуске (sid) эта проблема будет исправлена в версии 5.22.1-8.

Рекомендуется обновить пакеты perl.