Debian DSA-4347-1: perl - セキュリティ更新
critical Nessus プラグイン ID 119290
Language:
概要
リモートのDebianホストにセキュリティ関連の更新プログラムがありません。説明
Perl プログラミング言語の実装に、複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:- CVE-2018-18311 Jayakrishna Menon氏とChristophe Hauser氏は、攻撃者が制御する入力でヒープベースのバッファオーバーフローにつながる整数オーバーフローの脆弱性を、Perl_my_setenvで発見しました。
- CVE-2018-18312 Eiichi Tsukata氏は、細工された正規表現が、コンパイル中にヒープベースのバッファオーバーフローの書き込みを引き起こし、任意のコード実行を引き起こす可能性があることを発見しました。
- CVE-2018-18313 Eiichi Tsukata氏は、細工された正規表現が、コンパイル中にヒープベースのバッファオーバーフローの読み取りを引き起こし、情報漏洩を引き起こす可能性があることを発見しました。
- CVE-2018-18314 Jakub Wilk氏は、特別に細工された正規表現がヒープベースのバッファオーバーフローを引き起こす可能性があることを発見しました。
ソリューション
perl パッケージをアップグレードしてください。安定版ディストリビューション(stretch)では、これらの問題はバージョン5.24.1-3+deb9u5で修正されています。
参考資料
https://security-tracker.debian.org/tracker/CVE-2018-18311
https://security-tracker.debian.org/tracker/CVE-2018-18312
https://security-tracker.debian.org/tracker/CVE-2018-18313
https://security-tracker.debian.org/tracker/CVE-2018-18314
https://security-tracker.debian.org/tracker/source-package/perl
プラグインの詳細
深刻度: Critical
ID: 119290
ファイル名: debian_DSA-4347.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2018/11/30
更新日: 2020/6/19
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:perl, cpe:/o:debian:debian_linux:9.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/11/29
脆弱性公開日: 2018/12/5
参照情報
CVE: CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314
DSA: 4347
IAVA: 2018-A-0407-S