Säkerhetsbulletin från Debian
DSA-3501-1 perl -- säkerhetsuppdatering
- Rapporterat den:
- 2016-03-01
- Berörda paket:
- perl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-2381.
- Ytterligare information:
-
Stephane Chazelas upptäckte ett fel i miljöhanteringen i Perl. Perl tillhandahåller en Perl-space hash-variabel, %ENV, där miljövariabler kan kontrolleras. Om en variabel syns två gånger i envp, kom endast den senaste av dessa att synas i %ENV, men getenv kom att returnera den första. Perls säkerhetsmekanism taint applicerades på värdet i %ENV, men inte på resten av miljön. Detta kunde resultera i en tvetydig miljö som orsakar miljövariabler att spridas till underprocesser, oberoende av skydden som var tänkta att erbjudas av taint-kontrollerna.
Med denna uppdatering ändras Perls beteende för att matcha följande:
- %ENV fylls med den första miljövariabeln, som getenv skulle returnera
- Dubbla miljövariabler tas bort.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 5.14.2-21+deb7u3.
För den stabila utgåvan (Jessie) har detta problem rättats i version 5.20.2-3+deb8u4.
För den instabila utgåvan (Sid), kommer detta problem att rättas i version 5.22.1-8.
Vi rekommenderar att ni uppgraderar era perl-paket.