Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3501-1 perl

Säkerhetsbulletin från Debian

DSA-3501-1 perl -- säkerhetsuppdatering

Rapporterat den:

2016-03-01

Berörda paket:

perl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-2381.

Ytterligare information:

Stephane Chazelas upptäckte ett fel i miljöhanteringen i Perl. Perl tillhandahåller en Perl-space hash-variabel, %ENV, där miljövariabler kan kontrolleras. Om en variabel syns två gånger i envp, kom endast den senaste av dessa att synas i %ENV, men getenv kom att returnera den första. Perls säkerhetsmekanism taint applicerades på värdet i %ENV, men inte på resten av miljön. Detta kunde resultera i en tvetydig miljö som orsakar miljövariabler att spridas till underprocesser, oberoende av skydden som var tänkta att erbjudas av taint-kontrollerna.

Med denna uppdatering ändras Perls beteende för att matcha följande:

1. %ENV fylls med den första miljövariabeln, som getenv skulle returnera
2. Dubbla miljövariabler tas bort.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 5.14.2-21+deb7u3.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.20.2-3+deb8u4.

För den instabila utgåvan (Sid), kommer detta problem att rättas i version 5.22.1-8.

Vi rekommenderar att ni uppgraderar era perl-paket.