RHSA-2011-0558：perl

medium Nessus Plugin ID 54593

語系：

概要

遠端主機缺少公告 RHSA-2011-0558 的修補程式

說明

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 perl 套件，可修正三個安全性問題和數個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Perl 是一種高階的程式設計語言，通常用於系統管理公用程式和網頁程式設計。Perl CGI 模組提供用以準備及處理以 Common Gateway Interface (CGI) 為基礎之 HTTP 要求與回應的資源。

據發現，Perl CGI 模組對 multipart/x-mixed-replace 內容中的 MIME 邊界字串使用硬式編碼值。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 要求進行 HTTP 回應。(CVE-2010-2761)

Perl CGI 模組處理標頭中前帶新行字元的非空白序列時，發現了 CRLF 插入瑕疵。遠端攻擊者可利用此瑕疵，透過提供給 CGI 模組的特製字元序列，發動 HTTP 回應分割攻擊。(CVE-2010-4410)

據發現，某些 Perl 字串操控函式 (例如 uc() 與 lc()) 無法保留污染位元。遠端攻擊者可利用此瑕疵，在使用受影響的函式處理受污染輸入的指令碼中，繞過 Perl 的污染模式保護機制。(CVE-2011-1487)

這些套件會將 CGI 模組升級至 3.51 版。如需完整的變更清單，請參閱〈參照〉中所連結的 CGI 模組變更檔案。

此更新也可修正下列錯誤：

* 使用「threads」模組時，若嘗試傳送訊號至未指定訊號處置程式的執行緒，會造成 perl 解譯器意外終止並伴隨分割錯誤。透過此更新，「threads」模組已更新至上游版本 1.82，修正了這個錯誤。因此，傳送訊號至未指定訊號處置程式的執行緒時，不會再造成 perl 損毀。(BZ#626330)

* 在此更新之前，perl 套件不需要 Digest::SHA 模組做為相依性。因此，使用者啟動 cpan 命令行介面並嘗試從 CPAN 下載發行版本時，系統可能會顯示下列訊息：

CPAN：總和檢查碼安全性檢查已因未安裝 Digest::SHA 而停用。
請考慮安裝 Digest::SHA 模組。

此更新更正了 perl 套件需要 perl-Digest-SHA 套件作為相依性的規格檔案，且 cpan 不會再顯示以上訊息。(BZ#640716)

* 使用「threads」模組時，若持續建立與銷毀執行緒，可造成 Perl 程式消耗更多記憶體。透過此更新，基礎原始程式碼已更正為在銷毀執行緒時釋放配置的記憶體，且 Perl 程式中執行緒的持續建立與銷毀不會再導致記憶體洩漏。(BZ#640720)

* 由於封裝錯誤，perl 套件未包含「NDBM_File」模組。此更新可更正該錯誤，現在可如預期包含「NDBM_File」。(BZ#640729)

* 在此更新之前，prove(1) 手冊頁面和「prove --help」命令將「--fork」列為有效的命令行選項。但是，Test::Harness 3.17 發行版本移除了對於 fork 式平行測試的支援，因此 prove 公用程式不再支援此選項。此更新可同時更正手冊頁面和「prove --help」命令命令的輸出，因此「--fork」不再包含於可用命令行選項清單中。(BZ#609492)

建議 Perl 使用者 (尤其是 Perl 執行緒的使用者) 升級到這些更新版套件，以更正這些問題。

解決方案

使用「yum 更新」等項目更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2010-2761

https://access.redhat.com/security/cve/cve-2010-4410

https://access.redhat.com/security/cve/cve-2011-1487

http://cpansearch.perl.org/src/MARKSTOS/CGI.pm-3.51/Changes

https://access.redhat.com/errata/RHSA-2011:0558

Plugin 詳細資訊

嚴重性: Medium

ID: 54593

檔案名稱: redhat-RHSA-2011-0558.nasl

版本: 1.8

類型: local

代理程式: unix

系列: Red Hat Local Security Checks

已發布: 2011/5/20

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 4.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:perl, p-cpe:/a:redhat:enterprise_linux:perl-archive-extract, p-cpe:/a:redhat:enterprise_linux:perl-archive-tar, p-cpe:/a:redhat:enterprise_linux:perl-cgi, p-cpe:/a:redhat:enterprise_linux:perl-cpan, p-cpe:/a:redhat:enterprise_linux:perl-cpanplus, p-cpe:/a:redhat:enterprise_linux:perl-compress-zlib, p-cpe:/a:redhat:enterprise_linux:perl-digest-sha, p-cpe:/a:redhat:enterprise_linux:perl-extutils-cbuilder, p-cpe:/a:redhat:enterprise_linux:perl-extutils-embed, p-cpe:/a:redhat:enterprise_linux:perl-extutils-makemaker, p-cpe:/a:redhat:enterprise_linux:perl-extutils-parsexs, p-cpe:/a:redhat:enterprise_linux:perl-file-fetch, p-cpe:/a:redhat:enterprise_linux:perl-io-compress-base, p-cpe:/a:redhat:enterprise_linux:perl-io-compress-zlib, p-cpe:/a:redhat:enterprise_linux:perl-io-zlib, p-cpe:/a:redhat:enterprise_linux:perl-ipc-cmd, p-cpe:/a:redhat:enterprise_linux:perl-locale-maketext-simple, p-cpe:/a:redhat:enterprise_linux:perl-log-message, p-cpe:/a:redhat:enterprise_linux:perl-log-message-simple, p-cpe:/a:redhat:enterprise_linux:perl-module-build, p-cpe:/a:redhat:enterprise_linux:perl-module-corelist, p-cpe:/a:redhat:enterprise_linux:perl-module-load, p-cpe:/a:redhat:enterprise_linux:perl-module-load-conditional, p-cpe:/a:redhat:enterprise_linux:perl-module-loaded, p-cpe:/a:redhat:enterprise_linux:perl-module-pluggable, p-cpe:/a:redhat:enterprise_linux:perl-object-accessor, p-cpe:/a:redhat:enterprise_linux:perl-package-constants, p-cpe:/a:redhat:enterprise_linux:perl-params-check, p-cpe:/a:redhat:enterprise_linux:perl-parse-cpan-meta, p-cpe:/a:redhat:enterprise_linux:perl-pod-escapes, p-cpe:/a:redhat:enterprise_linux:perl-pod-simple, p-cpe:/a:redhat:enterprise_linux:perl-term-ui, p-cpe:/a:redhat:enterprise_linux:perl-test-harness, p-cpe:/a:redhat:enterprise_linux:perl-test-simple, p-cpe:/a:redhat:enterprise_linux:perl-time-hires, p-cpe:/a:redhat:enterprise_linux:perl-time-piece, p-cpe:/a:redhat:enterprise_linux:perl-core, p-cpe:/a:redhat:enterprise_linux:perl-debuginfo, p-cpe:/a:redhat:enterprise_linux:perl-devel, p-cpe:/a:redhat:enterprise_linux:perl-libs, p-cpe:/a:redhat:enterprise_linux:perl-parent, p-cpe:/a:redhat:enterprise_linux:perl-suidperl, p-cpe:/a:redhat:enterprise_linux:perl-version, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/5/19

弱點發布日期: 2010/12/6

參考資訊

CVE: CVE-2010-2761, CVE-2010-4410, CVE-2010-4411, CVE-2011-1487

BID: 45145, 47124

RHSA: 2011:0558