DFN-CERT

Advisory-Archiv

2018-0716: Perl: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-04-16 19:34)
Neues Advisory
Version 2 (2018-04-18 12:51)
Canonical stellt jetzt auch für Ubuntu 12.04 ESM ein Sicherheitsupdate für Perl bereit. Diese behebt die Schwachstellen CVE-2015-8853, CVE-2016-6185, CVE-2017-6512 und CVE-2018-6913.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Perl ermöglichen einem lokalen, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)- und möglicherweise weiterer Angriffe durch das Auslösen von Pufferüberläufen (Buffer Overflow) und die kontrollierte Manipulation von Speicherinhalten sowie die Manipulation von Dateien. Die Schwachstellen treten bei der Verarbeitung regulärer Ausdrücke und bei der Umwandlung von Zeichenketten auf, können also, abhängig von der Implementierung des jeweiligen Programms, möglicherweise auch aus der Ferne ausgenutzt werden. Ein entfernter, nicht authentisierter Angreifer kann beliebigen Programmcode ausführen, indem er an einer bestimmten Stelle ein Verzeichnis mit einer speziell präparierten ausführbaren Datei erstellt, die automatisch geladen wird, sobald ein bestimmtes Programmskript im übergeordneten Verzeichnis ausgeführt wird.

Die jüngsten drei Schwachstellen werden vom Hersteller in Perl 5.26.2 behoben, diese Version steht in Kürze offiziell zur Verfügung.

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates zur Behebung der hier aufgeführten Schwachstellen bereit. Die Schwachstellen betreffen jeweils unterschiedliche Ubuntu-Versionen.

Schwachstellen:

CVE-2015-8853

Schwachstelle in Perl ermöglicht Denial-of-Service-Angriff

CVE-2016-6185

Schwachstelle in Perl ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-6512

Schwachstelle in File-Path ermöglicht Manipulation von Dateien

CVE-2018-6797

Schwachstelle in Perl ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-6798

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-6913

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.