Debians sikkerhedsbulletin

DSA-4347-1 perl -- sikkerhedsopdatering

Rapporteret den:
29. nov 2018
Berørte pakker:
perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i implementeringen af programmeringssproget Perl. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2018-18311

    Jayakrishna Menon og Christophe Hauser opdagede en heltalsoverløbssårbarhed i Perl_my_setenv, førende til et heapbaseret bufferoverløb med angriberkontrollerede inddata.

  • CVE-2018-18312

    Eiichi Tsukata opdagede at et fabrikeret regulært udtryk, kunne medføre en heapbaseret bufferoverløbsskrivning under kompilering, potentielt førende til udførelse af vilkårlig kode.

  • CVE-2018-18313

    Eiichi Tsukata opdagede at et fabrikeret regulært udtryk kunne medføre en heapbaseret bufferoverløbslæsning under kompilering, hvilket førte til informationslækage.

  • CVE-2018-18314

    Jakub Wilk opdagede at et særlig fremstillet regulært udtryk kunne føre til et heapbaseret bufferoverløb.

I den stabile distribution (stretch), er disse problemer rettet i version 5.24.1-3+deb9u5.

Vi anbefaler at du opgraderer dine perl-pakker.

For detaljeret sikkerhedsstatus vedrørende perl, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/perl