Oracle Linux 4/5：perl（ELSA-2011-1797）

critical Nessus プラグイン ID 68402

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2011:1797 から：

複数のセキュリティの問題を修正する更新済みの perl パッケージが、 Red Hat Enterprise Linux 4 と 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Perl は、システム管理ユーティリティや Web プログラミングで一般的に使用される高レベルのプログラミング言語です。

Digest モジュールの「新しい」コンストラクターが、引数を文字列式の一部として eval() 関数に受け渡すことが判明しました。攻撃者が、この欠陥を利用することにより、Perl プログラムの権限で任意の Perl コードを実行する可能性があります。これは、信頼されない入力をコンストラクターへの引数として利用します。(CVE-2011-3597)

Perl CGI モジュールが multipart/x-mixed-replace コンテンツでハードコード値を MIME 境界文字列として使用していることが判明しました。リモートの攻撃者が、この欠陥を利用することにより、特別に細工された HTTP リクエストで HTTP 応答分割攻撃を実施する可能性があります。(CVE-2010-2761)

Perl CGI モジュールが空白でない文字の前に改行文字があるシーケンスをヘッダーで処理する方法で、CRLF インジェクションの欠陥が見つかりました。リモートの攻撃者が、この欠陥を利用することにより、特別に細工された CGI モジュールに提供される文字のシーケンスで HTTP 応答分割攻撃を実施できる可能性があります。(CVE-2010-4410)

すべての Perl ユーザーが、バックポートのパッチを含み、これらの問題を修正する、これらの更新パッケージにアップグレードする必要があります。この更新を有効にするには、すべての実行中の Perl プログラムを再起動する必要があります。