CentOS 4 / 5：perl（CESA-2011: 1797）

high Nessus プラグイン ID 57068

Language:

概要

リモートのCentOSホストに1つ以上のセキュリティ更新プログラムが欠落しています。

説明

複数のセキュリティの問題を修正する更新済みの perl パッケージが、 Red Hat Enterprise Linux 4 と 5 で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System（CVSS）のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。

Perl は、システム管理ユーティリティや Web プログラミングで一般的に使用される高レベルのプログラミング言語です。

Digest モジュールの「新しい」コンストラクターが、引数を文字列式の一部として eval() 関数に受け渡すことが判明しました。攻撃者が、この欠陥を利用することにより、Perl プログラムの権限で任意の Perl コードを実行する可能性があります。これは、信頼されない入力をコンストラクターへの引数として利用します。（CVE-2011-3597）

Perl CGI モジュールが multipart/x-mixed-replace コンテンツでハードコード値を MIME 境界文字列として使用していることが判明しました。リモートの攻撃者が、この欠陥を悪用し、特別に細工されたHTTPリクエストを使用して、HTTP応答分割攻撃を仕掛ける可能性があります。（CVE-2010-2761）

Perl CGI モジュールが空白でない文字の前に改行文字があるシーケンスをヘッダーで処理する方法で、 CRLF インジェクションの欠陥が見つかりました。リモートの攻撃者が、この欠陥を利用することにより、特別に細工されたCGIモジュールに提供される文字のシーケンスで HTTP 応答分割攻撃を実施できる可能性があります。（CVE-2010-4410）

すべての Perl ユーザーは、これらの問題を修正するバックポートされたパッチが含まれている更新済みパッケージにアップグレードする必要があります。この更新を有効にするには、すべての実行中の Perl プログラムを再起動する必要があります。