Amazon Linux AMI : perl (ALAS-2013-177)
high Nessus Plugin ID 69736
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
在 Perl 中發現堆積溢位瑕疵。如果 Perl 應用程式允許使用者輸入以控制字串重複運算子的計數引數,攻擊者可使應用程式損毀,或者可能會以執行應用程式之使用者的權限執行任意程式碼。(CVE-2012-5195)在 Perl 的重新雜湊程式碼實作 (負責重新計算雜湊金鑰以及重新散佈雜湊內容) 處理特定輸入的方式中發現一個拒絕服務瑕疵。如果攻擊者提供 Perl 應用程式作為雜湊金鑰使用的特製輸入,可造成過度消耗記憶體。
(CVE-2013-1667)
據發現,用於處理 Common Gateway Interface 要求與回應的 Perl CGI 模組會不正確地清理 Set-Cookie 和 P3P 標頭的值。如果使用 CGI 模組的 Perl 應用程式重複使用 Cookie 值,並接受來自網頁瀏覽器之未受信任的輸入,則遠端攻擊者可利用此瑕疵改變 Cookie 的成員項目,或加入新的項目。(CVE-2012-5526)
據發現,用來當地語系化 Perl 應用程式的 Perl Locale::Maketext 模組無法正確處理反斜線或完整方法名稱。攻擊者可能利用此瑕疵,以使用未受信任之 Locale::Maketext 範本的 Perl 應用程式權限執行任意 Perl 程式碼。
(CVE-2012-6329)
解決方案
執行「yum update perl」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 69736
檔案名稱: ala_ALAS-2013-177.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2013/9/4
已更新: 2019/2/7
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:amazon:linux:perl, p-cpe:/a:amazon:linux:perl-archive-extract, p-cpe:/a:amazon:linux:perl-archive-tar, p-cpe:/a:amazon:linux:perl-cgi, p-cpe:/a:amazon:linux:perl-cpan, p-cpe:/a:amazon:linux:perl-cpanplus, p-cpe:/a:amazon:linux:perl-compress-raw-bzip2, p-cpe:/a:amazon:linux:perl-compress-raw-zlib, p-cpe:/a:amazon:linux:perl-compress-zlib, p-cpe:/a:amazon:linux:perl-digest-sha, p-cpe:/a:amazon:linux:perl-extutils-cbuilder, p-cpe:/a:amazon:linux:perl-extutils-embed, p-cpe:/a:amazon:linux:perl-extutils-makemaker, p-cpe:/a:amazon:linux:perl-extutils-parsexs, p-cpe:/a:amazon:linux:perl-file-fetch, p-cpe:/a:amazon:linux:perl-io-compress-base, p-cpe:/a:amazon:linux:perl-io-compress-bzip2, p-cpe:/a:amazon:linux:perl-io-compress-zlib, p-cpe:/a:amazon:linux:perl-io-zlib, p-cpe:/a:amazon:linux:perl-ipc-cmd, p-cpe:/a:amazon:linux:perl-locale-maketext-simple, p-cpe:/a:amazon:linux:perl-log-message, p-cpe:/a:amazon:linux:perl-log-message-simple, p-cpe:/a:amazon:linux:perl-module-build, p-cpe:/a:amazon:linux:perl-module-corelist, p-cpe:/a:amazon:linux:perl-module-load, p-cpe:/a:amazon:linux:perl-module-load-conditional, p-cpe:/a:amazon:linux:perl-module-loaded, p-cpe:/a:amazon:linux:perl-module-pluggable, p-cpe:/a:amazon:linux:perl-object-accessor, p-cpe:/a:amazon:linux:perl-package-constants, p-cpe:/a:amazon:linux:perl-params-check, p-cpe:/a:amazon:linux:perl-parse-cpan-meta, p-cpe:/a:amazon:linux:perl-pod-escapes, p-cpe:/a:amazon:linux:perl-pod-simple, p-cpe:/a:amazon:linux:perl-term-ui, p-cpe:/a:amazon:linux:perl-test-harness, p-cpe:/a:amazon:linux:perl-test-simple, p-cpe:/a:amazon:linux:perl-time-hires, p-cpe:/a:amazon:linux:perl-time-piece, p-cpe:/a:amazon:linux:perl-core, p-cpe:/a:amazon:linux:perl-debuginfo, p-cpe:/a:amazon:linux:perl-devel, p-cpe:/a:amazon:linux:perl-libs, p-cpe:/a:amazon:linux:perl-parent, p-cpe:/a:amazon:linux:perl-suidperl, p-cpe:/a:amazon:linux:perl-version, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/9/15
弱點發布日期: 2012/11/21
可惡意利用
Metasploit (TWiki MAKETEXT Remote Command Execution)
Elliot (TWiki 5.1.2 RCE)
參考資訊
CVE: CVE-2012-5195, CVE-2012-5526, CVE-2012-6329, CVE-2013-1667