Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2007-AVI-481
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 07 novembre 2007 No CERTA-2007-AVI-481 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité de
Perl
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-481 |
Une gestion de version détaillée se trouve à la fin de ce document.
Perl 5.x versions antérieures à 5.9.5.
Une vulnérabilité de Perl peut être exploitée par une personne malintentionnée distante pour effectuer un déni de service ou exécuter du code arbitraire.
Une vulnérabilité de type débordement de mémoire a été identifiée dans Perl, plus précisément dans le traitement d'expressions régulières en Unicode. Ceci peut être exploité par une personne malintentionnée distante pour effectuer un déni de service voire exécuter du code arbitraire via une expression régulière spécialement construite.
La version de développement 5.9.5 corrige le problème. Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
http://www.debian.org/security/dsa-1400
http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:207
http://rhn.redhat.com/errata/RHSA-2007-0966.html
http://lists.rpath.com/pipermail/security-announce/2007-November/000274.html
http://www.itrc.hp.com/service/patch/...I.do?patchid=perl_V51BB27-ES-20080207
http://www.itrc.hp.com/service/patch/...hid=T64KIT1001399-V51BB26-ES-20071207
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231524-1
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5116