Bulletin d'alerte Debian

DSA-4172-1 perl -- Mise à jour de sécurité

Date du rapport :
14 avril 2018
Paquets concernés :
perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-6797, CVE-2018-6798, CVE-2018-6913.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2018-6797

    Brian Carpenter a signalé qu'une expression rationnelle contrefaite pourrait provoquer un dépassement de tas en écriture, avec un contrôle sur les octets écrits.

  • CVE-2018-6798

    Nguyen Duc Manh a signalé que la correspondance d'une expression rationnelle contrefaite dépendant des paramètres linguistiques peut provoquer une lecture hors limites du tampon de tas et éventuellement la divulgation d'informations.

  • CVE-2018-6913

    GwanYeong Kim a signalé que « pack() » avec un grand nombre d'éléments pourrait provoquer un dépassement de tas en écriture.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 5.20.2-3+deb8u10. La mise à jour de la distribution oldstable (Jessie) fournit seulement un correctif pour CVE-2018-6913.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u3.

Nous vous recommandons de mettre à jour vos paquets perl.

Pour disposer d'un état détaillé sur la sécurité de perl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/perl