Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 perl

medium Nessus Plugin ID 61044

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

Perl 是一種高階的程式設計語言，通常用於系統管理公用程式和網頁程式設計。Perl CGI 模組提供用以準備及處理以 Common Gateway Interface (CGI) 為基礎之 HTTP 要求與回應的資源。

據發現，Perl CGI 模組對 multipart/x-mixed-replace 內容中的 MIME 邊界字串使用硬式編碼值。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 要求進行 HTTP 回應。(CVE-2010-2761)

Perl CGI 模組處理標頭中前帶新行字元的非空白序列時，發現了 CRLF 插入瑕疵。遠端攻擊者可利用此瑕疵，透過提供給 CGI 模組的特製字元序列，發動 HTTP 回應分割攻擊。(CVE-2010-4410)

據發現，某些 Perl 字串操控函式 (例如 uc() 與 lc()) 無法保留污染位元。遠端攻擊者可利用此瑕疵，在使用受影響的函式處理受污染輸入的指令碼中，繞過 Perl 的污染模式保護機制。
(CVE-2011-1487)

這些套件會將 CGI 模組升級至 3.51 版。如需完整的變更清單，請參閱〈參照〉中所連結的 CGI 模組變更檔案。

此更新也可修正下列錯誤：

- 使用 'threads' 模組時，若嘗試傳送訊號至未指定訊號處置程式的執行緒，會造成 perl 解譯器意外終止並伴隨分割錯誤。透過此更新，'threads' 模組已更新至上游版本 1.82，修正了這個錯誤。因此，傳送訊號至未指定訊號處置程式的執行緒時，不會再造成 perl 損毀

- 在此更新之前，perl 套件不需要 Digest::SHA 模組做為相依性。因此，使用者啟動 cpan 命令行介面並嘗試從 CPAN 下載發行版本時，系統可能會顯示下列訊息：

CPAN：總和檢查碼安全性檢查已因未安裝 Digest::SHA 而停用。請考慮安裝 Digest::SHA 模組。

此更新更正了 perl 套件需要 perl-Digest-SHA 套件作為相依性的規格檔案，且 cpan 不會再顯示以上訊息。

- 使用 'threads' 模組時，若持續建立與銷毀執行緒，可造成 Perl 程式消耗更多記憶體。透過此更新，基礎原始程式碼已更正為在銷毀執行緒時釋放配置的記憶體，且 Perl 程式中執行緒的持續建立與銷毀不會再導致記憶體洩漏。

- 由於封裝錯誤，perl 套件未包含 'NDBM_File' 模組。此更新可更正該錯誤，現在可如預期包括 'NDBM_File'。

- 在此更新之前，prove(1) 手冊頁面和 'prove --help' 命令將 '--fork' 列為有效的命令行選項。但是，Test::Harness 3.17 發行版本移除了對於 fork 式平行測試的支援，因此 prove 公用程式不再支援此選項。此更新可同時更正手冊頁面和 'prove --help' 命令的輸出，
因此 '--fork' 不再包含在可用命令行選項清單中。

建議 Perl 使用者 (尤其是 Perl 執行緒的使用者) 升級到這些更新版套件，以更正這些問題。