Scientific Linux 安全性更新：SL4.x、SL5.x i386/x86_64 上的 perl

high Nessus Plugin ID 61202

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

Perl 是一種高階的程式設計語言，通常用於系統管理公用程式和網頁程式設計。

據發現，Digest 模組的 'new' 建構函式使用其引數作為傳遞給 eval() 函式之字串運算式的一部分。攻擊者可能會利用此瑕疵，以使用了未受信任的輸入作為建構函式引數的 Perl 程式之權限，執行任意 Perl 程式碼。(CVE-2011-3597)

據發現，Perl CGI 模組對 multipart/x-mixed-replace 內容中的 MIME 邊界字串使用硬式編碼值。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 要求進行 HTTP 回應。(CVE-2010-2761)

Perl CGI 模組處理標頭中前帶新行字元的非空白序列時，發現了 CRLF 插入瑕疵。遠端攻擊者可利用此瑕疵，透過提供給 CGI 模組的特製字元序列，發動 HTTP 回應分割攻擊。(CVE-2010-4410)

建議所有 Perl 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式。必須重新啟動所有執行的 Perl 程式，此更新才會生效。