Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Perl 5.x versions antérieures à 5.9.5.
Résumé
Une vulnérabilité de Perl peut être exploitée par une personne malintentionnée distante pour effectuer un déni de service ou exécuter du code arbitraire.
Description
Une vulnérabilité de type débordement de mémoire a été identifiée dans Perl, plus précisément dans le traitement d'expressions régulières en Unicode. Ceci peut être exploité par une personne malintentionnée distante pour effectuer un déni de service voire exécuter du code arbitraire via une expression régulière spécialement construite.
Solution
La version de développement 5.9.5 corrige le problème. Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1400-1 du 06 novembre 2007 :
http://www.debian.org/security/dsa-1400
- Bulletin de sécurité Mandriva MDKSA-2007:207 du 05 novembre 2007 :
http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:207
- Bulletin de sécurité RedHat RHSA-2007:0966 du 05 novembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0966.html
- Bulletin de sécurité rPath 2007-0232-1 du 06 novembre 2007 :
http://lists.rpath.com/pipermail/security-announce/2007-November/000274.html
- Bulletin de sécurité pour HP Tru64 Unix version 5.1B-4 du 21 février 2008 :
http://www.itrc.hp.com/service/patch/...I.do?patchid=perl_V51BB27-ES-20080207
- Bulletin de sécurité pour HP Tru64 Unix version 5.1B-3 du 21 février 2008 :
http://www.itrc.hp.com/service/patch/...hid=T64KIT1001399-V51BB26-ES-20071207
- Bulletin de sécurité de SUN du 21 février 2008 :
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231524-1
- Référence CVE CVE-2007-5116 :
https://www.cve.org/CVERecord?id=CVE-2007-5116
