Bulletin d'alerte Debian

DSA-4347-1 perl -- Mise à jour de sécurité

Date du rapport :
29 novembre 2018
Paquets concernés :
perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'implémentation du langage de programmation Perl. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2018-18311

    Jayakrishna Menon et Christophe Hauser ont découvert une vulnérabilité de dépassement d'entier dans Perl_my_setenv menant à un dépassement de tas avec une entrée contrôlée par l'attaquant.

  • CVE-2018-18312

    Eiichi Tsukata a découvert qu'une expression rationnelle contrefaite pourrait provoquer un dépassement de tas en écriture durant la compilation, permettant éventuellement l'exécution de code arbitraire.

  • CVE-2018-18313

    Eiichi Tsukata a découvert qu'une expression rationnelle contrefaite pourrait provoquer un dépassement de tas en lecture durant la compilation qui mène à une fuite d'informations.

  • CVE-2018-18314

    Jakub Wilk a découvert qu'une expression rationnelle contrefaite pour l'occasion pourrait conduire à un dépassement de tas.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.24.1-3+deb9u5.

Nous vous recommandons de mettre à jour vos paquets perl.

Pour disposer d'un état détaillé sur la sécurité de perl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/perl.