Mandriva Linux 安全性公告:perl (MDVSA-2013:113)
high Nessus Plugin ID 66125
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
更新版 perl 套件可修正安全性弱點:據發現,Perl 的「x」字串重複運算子容易受到堆積型緩衝區溢位攻擊。攻擊者可利用此弱點執行任意程式碼 (CVE-2012-5195)。
在 5.17.7 版之前的 Perl 中,Locale::Maketext 實作之 Maketext.pm 中的 _compile 函式在括弧標記編譯時,並未正確處理反斜線和完整的方法名稱,這會讓內容相依的攻擊者透過允許使用者轉譯字串之應用程式的特製輸入來執行任意命令 (CVE-2012-6329)。
為針對演算法複雜性攻擊的雜湊機制防止該攻擊,Perl 有時將會重新計算金鑰,並轉散佈雜湊的內容。此機制讓 Perl 變得健全,以防範其他系統所證實的攻擊。Yves Orton 的研究最近發現,重新雜湊程式碼中存有一個可導致病態行為的瑕疵。此瑕疵可遭到惡意利用,以針對使用任意使用者輸入作為雜湊金鑰的程式碼,執行拒絕服務攻擊。因為將使用者提供的字串用作雜湊金鑰是相當常見的作業,所以我們鼓勵 perl 使用者盡早更新 perl 可執行檔。
現已將解決此問題的更新升級至 main-5.8、maint-5.10、maint-5.12、maint-5.14 和 maint-5.16 分支。
兩個星期前已向供應商* 通知此問題,且預計今天將更新提供給供應商 (CVE-2013-1667)。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: High
ID: 66125
檔案名稱: mandriva_MDVSA-2013-113.nasl
版本: 1.25
類型: local
已發布: 2013/4/20
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.2
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:perl, p-cpe:/a:mandriva:linux:perl-locale-maketext, p-cpe:/a:mandriva:linux:perl-base, p-cpe:/a:mandriva:linux:perl-devel, p-cpe:/a:mandriva:linux:perl-doc, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/4/10
可惡意利用
Metasploit (TWiki MAKETEXT Remote Command Execution)
Elliot (Foswiki 1.1.5 RCE)
參考資訊
CVE: CVE-2012-5195, CVE-2012-6329, CVE-2013-1667
MDVSA: 2013:113
MGASA: 2012-0352, 2013-0032, 2013-0094