Bulletin d'alerte Debian
DSA-3982-1 perl -- Mise à jour de sécurité
- Date du rapport :
- 21 septembre 2017
- Paquets concernés :
- perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 875596, Bogue 875597.
Dans le dictionnaire CVE du Mitre : CVE-2017-12837, CVE-2017-12883. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2017-12837
Jakub Wilk a signalé un défaut de dépassement de tas dans le compilateur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service à l'aide d'une expression rationnelle contrefaite pour l'occasion avec le modificateur « case-insensitive ».
- CVE-2017-12883
Jakub Wilk a signalé un défaut de lecture hors limite du tampon dans l'analyseur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service ou une fuite d'informations.
Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 5.20.2-3+deb8u9.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u2.
Pour la distribution testing (Buster), ces problèmes ont été corrigés dans la version 5.26.0-8.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.26.0-8.
Nous vous recommandons de mettre à jour vos paquets perl.
- CVE-2017-12837