Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3982-1 perl

Bulletin d'alerte Debian

DSA-3982-1 perl -- Mise à jour de sécurité

Date du rapport :

21 septembre 2017

Paquets concernés :

perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 875596, Bogue 875597.
Dans le dictionnaire CVE du Mitre : CVE-2017-12837, CVE-2017-12883.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-12837

  Jakub Wilk a signalé un défaut de dépassement de tas dans le compilateur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service à l'aide d'une expression rationnelle contrefaite pour l'occasion avec le modificateur « case-insensitive ».

• CVE-2017-12883

  Jakub Wilk a signalé un défaut de lecture hors limite du tampon dans l'analyseur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service ou une fuite d'informations.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 5.20.2-3+deb8u9.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u2.

Pour la distribution testing (Buster), ces problèmes ont été corrigés dans la version 5.26.0-8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.26.0-8.

Nous vous recommandons de mettre à jour vos paquets perl.