Bulletin d'alerte Debian

DSA-3982-1 perl -- Mise à jour de sécurité

Date du rapport :
21 septembre 2017
Paquets concernés :
perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 875596, Bogue 875597.
Dans le dictionnaire CVE du Mitre : CVE-2017-12837, CVE-2017-12883.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-12837

    Jakub Wilk a signalé un défaut de dépassement de tas dans le compilateur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service à l'aide d'une expression rationnelle contrefaite pour l'occasion avec le modificateur « case-insensitive ».

  • CVE-2017-12883

    Jakub Wilk a signalé un défaut de lecture hors limite du tampon dans l'analyseur d'expression rationnelle, permettant à un attaquant distant de provoquer un déni de service ou une fuite d'informations.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 5.20.2-3+deb8u9.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u2.

Pour la distribution testing (Buster), ces problèmes ont été corrigés dans la version 5.26.0-8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.26.0-8.

Nous vous recommandons de mettre à jour vos paquets perl.