Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4347-1 perl

Bulletin d'alerte Debian

DSA-4347-1 perl -- Mise à jour de sécurité

Date du rapport :

29 novembre 2018

Paquets concernés :

perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2018-18311

  Jayakrishna Menon et Christophe Hauser ont découvert une vulnérabilité de dépassement d'entier dans Perl_my_setenv menant à un dépassement de tas avec une entrée contrôlée par l'attaquant.

• CVE-2018-18312

  Eiichi Tsukata a découvert qu'une expression rationnelle contrefaite pourrait provoquer un dépassement de tas en écriture durant la compilation, permettant éventuellement l'exécution de code arbitraire.

• CVE-2018-18313

  Eiichi Tsukata a découvert qu'une expression rationnelle contrefaite pourrait provoquer un dépassement de tas en lecture durant la compilation qui mène à une fuite d'informations.

• CVE-2018-18314

  Jakub Wilk a découvert qu'une expression rationnelle contrefaite pour l'occasion pourrait conduire à un dépassement de tas.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u5.

Nous vous recommandons de mettre à jour vos paquets perl.

Pour disposer d'un état détaillé sur la sécurité de perl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/perl.