Säkerhetsbulletin från Debian

DSA-4172-1 perl -- säkerhetsuppdatering

Rapporterat den:
2018-04-14
Berörda paket:
perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2018-6797, CVE-2018-6798, CVE-2018-6913.
Ytterligare information:

Flera sårbarheter har upptäckts i implementationen av programspråket Perl. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2018-6797

    Brian Carpenter rapporterade att ett skapat reguljärt uttryck kunde orsaka ett heapbuffertspill vid skrivning, med kontroll över bytesen som skrivs.

  • CVE-2018-6798

    Nguyen Duc Manh rapporterade att matchning av ett skapat locale-beroende reguljärt uttryck kunde orsaka ett heap-baserat buffertspill vid läsning och möjligen avslöjande av information.

  • CVE-2018-6913

    GwanYeong Kim rapporterade att 'pack()' kunde orsaka ett heapbuffertspill vid skrivning med en stor posträknare.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 5.20.2-3+deb8u10. Uppdateringen för den gamla stabila utgåvan (Jessie) innehåller endast en rättning för CVE-2018-6913.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 5.24.1-3+deb9u3.

Vi rekommenderar att ni uppgraderar era perl-paket.

För detaljerad säkerhetsstatus om perl vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/perl