Säkerhetsbulletin från Debian

DSA-4347-1 perl -- säkerhetsuppdatering

Rapporterat den:
2018-11-29
Berörda paket:
perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314.
Ytterligare information:

Flera sårbarheter har upptäckts i implementationen av programspråket Perl. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2018-18311

    Jayakrishna Menon och Christophe Hauser upptäckte ett heltalsspill i Perl_my_setenv som leder till ett heap-baserat buffertspill med angriparkontrollerad indata.

  • CVE-2018-18312

    Eiichi Tsukata upptäckte att ett skapat reguljärt uttryck kunde orsaka en heapbaserad buffertspillskrivning under kompilering, vilket potentiellt tillåter exekvering av godtycklig kod.

  • CVE-2018-18313

    Eiichi Tsukata upptäckte att ett skapat reguljärt uttryck kunde orsaka en heapbaserad buffertspillsläsning under kompilering vilket leder till informationsläckage.

  • CVE-2018-18314

    Jakub Wilk upptäckt att ett speciellt skapat reguljärt uttryck kunde leda till ett heap-baserat buffertspill.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 5.24.1-3+deb9u5.

Vi rekommenderar att ni uppgraderar era perl-paket.

För detaljerad säkerhetsstatus om perl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/perl