Risque
- Elévation de privilèges ;
- exécution de code arbitraire.
Systèmes affectés
Perl 5.8.6 et versions antérieures.Description
Perl (Practical Extraction and Report Language) est un langage interprété de programmation.Deux vulnérabilités dans l'interpréteur Perl permettent à un utilisateur mal intentionné d'élever ses privilèges (CAN-2005-0155) et de réaliser un débordement de mémoire (CAN-2005-0156) qui peut conduire à l'exécution de code arbitraire sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de Perl :
http://www.perl.com
- Bulletin de sécurité RedHat RHSA-2005:105 du 07 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-105.html
- Bulletin de sécurité Mandrake MDKSA-2005:031 du 08 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:031
- Bulletin de sécurité FreeBSD du 02 février 2005 :
http://www.vuxml.org/freebsd/
- Mise à jour de sécurité du paquetage NetBSD perl58 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/perl58/README.html
- Bulletin de sécurité Gentoo GLSA 200502-13 du 11 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-13.xml
- Bulletin de sécurité RedHat RHSA-2005-103 du 15 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-103.html
- Bulletin de sécurité SUSE-SR:2005:004 du 11 février 2005 :
http://www.novell.com/linux/security/advisories/2005_04_sr.html
- Bulletin de sécurité SGI 20050202-01-U du 09 février 2005 :
ftp://patches.sgi.com/support/free/security/advisories/20050202-01-U.asc
- Correctif de sécurité pour IBM AIX 5.2 et IBM AIX 5.3 :
ftp://aix.software.ibm.com/aix/efixes/security/perl58x.tar
- Référence CVE CAN-2005-0155 :
https://www.cve.org/CVERecord?id=CAN-2005-0155
- Référence CVE CAN-2005-0156 :
https://www.cve.org/CVERecord?id=CAN-2005-0156