Säkerhetsbulletin från Debian

DSA-3501-1 perl -- säkerhetsuppdatering

Rapporterat den:
2016-03-01
Berörda paket:
perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-2381.
Ytterligare information:

Stephane Chazelas upptäckte ett fel i miljöhanteringen i Perl. Perl tillhandahåller en Perl-space hash-variabel, %ENV, där miljövariabler kan kontrolleras. Om en variabel syns två gånger i envp, kom endast den senaste av dessa att synas i %ENV, men getenv kom att returnera den första. Perls säkerhetsmekanism taint applicerades på värdet i %ENV, men inte på resten av miljön. Detta kunde resultera i en tvetydig miljö som orsakar miljövariabler att spridas till underprocesser, oberoende av skydden som var tänkta att erbjudas av taint-kontrollerna.

Med denna uppdatering ändras Perls beteende för att matcha följande:

  1. %ENV fylls med den första miljövariabeln, som getenv skulle returnera
  2. Dubbla miljövariabler tas bort.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 5.14.2-21+deb7u3.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.20.2-3+deb8u4.

För den instabila utgåvan (Sid), kommer detta problem att rättas i version 5.22.1-8.

Vi rekommenderar att ni uppgraderar era perl-paket.