検出

Mandriva Linux セキュリティアドバイザリ: perl (MDVSA-2013:113)

high Nessus プラグイン ID 66125

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

更新済みの perl パッケージにより、セキュリティの脆弱性が修正されます:

Perl の「x」文字列の繰り返し演算子がヒープベースのバッファオーバーフローに対して脆弱であることが判明しました。攻撃者がこれを利用して、任意のコードを実行する可能性があります(CVE-2012-5195)。

- 5.17.7 より前の Perl での Locale::Maketext 実装における Maketext.pm の _compile 関数が、角かっこ表記のコンパイル中にバックスラッシュと完全修飾メソッド名を適切に処理しません。これにより、コンテキスト依存の攻撃者は、ユーザーからの変換文字列を受け入れるアプリケーションへの細工された入力を介して、任意のコマンドを実行することが可能です(CVE-2012-6329)。

ハッシングメカニズムに対するアルゴリズム複雑性の攻撃を防ぐため、 Perl は時折、キーを再計算し、ハッシュのコンテンツを再配布します。このメカニズムにより、Perl はその他のシステムに対して実証された攻撃に対して堅牢となっています。Yves Orton 氏の研究により、再ハッシュコードに異常な挙動につながる可能性がある欠陥があることが最近明らかになりました。この欠陥を悪用することで任意のユーザー入力をハッシュキーとして使用するコードに対して DoS 攻撃(サービス拒否攻撃)を行うことができます。ユーザー指定の文字列をハッシュキーとして使用することはとても一般的な操作であるため、弊社は perl のユーザーに perl 実行可能ファイルを早急に更新するよう強く勧めています。
この問題に対処するための更新は現在、main-5.8、maint-5.10、maint-5.12、maint-5.14、maint-5.16 ブランチにプッシュされました。
ベンダー*は 2 週間前に、この問題についての通知を受けました。また、更新の出荷を現在(あるいは可能な限りすぐに)出荷することが求められています(CVE-2013-1667)。

ソリューション

影響を受けるパッケージを更新してください。

プラグインの詳細

深刻度: High

ID: 66125

ファイル名: mandriva_MDVSA-2013-113.nasl

バージョン: 1.25

タイプ: local

公開日: 2013/4/20

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:perl, p-cpe:/a:mandriva:linux:perl-locale-maketext, p-cpe:/a:mandriva:linux:perl-base, p-cpe:/a:mandriva:linux:perl-devel, p-cpe:/a:mandriva:linux:perl-doc, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/10

エクスプロイト可能

Metasploit (TWiki MAKETEXT Remote Command Execution)

Elliot (Foswiki 1.1.5 RCE)

参照情報

CVE: CVE-2012-5195, CVE-2012-6329, CVE-2013-1667

BID: 56287, 56950, 58311

MDVSA: 2013:113

MGASA: 2012-0352, 2013-0032, 2013-0094