2018-2451: Perl: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-11-30 15:36): Neues Advisory
Version 2 (2018-11-30 18:30): Debian stellt für Debian 8 Jessie (LTS) zur Behebung der Schwachstelle CVE-2018-18311 ebenfalls ein Backport-Sicherheitsupdate bereit.
Version 3 (2018-12-04 08:18): Canonical veröffentlicht für die Distributionen Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates, um die hier referenzierten Schwachstellen zu beheben, wobei Ubuntu 14.04 LTS von den Schwachstellen CVE-2018-18312 und CVE-2018-18314 nicht betroffen ist. Korrespondierend stellt Canonical ein Sicherheitsupdate für Ubuntu 12.04 ESM zur Verfügung, auch für diese Distribution werden nur die Schwachstellen CVE-2018-18311 und CVE-2018-18313 behoben.
Version 4 (2018-12-06 10:39): Für Fedora Modular 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'perl-5.26-20181205105946.0dec8aa7' und 'perl-5.26-20181205105946.b88aa309' im Status 'testing' zur Behebung der Schwachstellen bereit.
Version 5 (2018-12-19 17:20): Für SUSE Linux Enterprise Module for Development Tools 15 und SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates für 'perl' zur Behebung der Schwachstellen bereit.
Version 6 (2018-12-27 10:35): Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für Perl zur Behebung der Schwachstellen bereit.
Version 7 (2019-01-02 17:37): Für Red Hat Software Collections steht ein Sicherheitsupdate für die Pakete 'rh-perl526-perl' und 'rh-perl526-perl-Module-CoreList' bereit, welches diese Schwachstellen behebt.
Version 8 (2019-01-03 11:12): Für Red Hat Software Collections steht ein Sicherheitsupdate für das Paket 'rh-perl524-perl' bereit, welches diese Schwachstellen behebt.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
UNIX

Beschreibung:

Mehrere Schwachstellen in Perl ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen und möglicherweise das Ausführen beliebigen Programmcodes, jeweils durch das Auslösen von Pufferüberläufen (Buffer Overflow).

Die Schwachstellen werden vom Hersteller in den Perl Versionen 5.26.3 und 5.28.1 behoben.

Fedora stellt für Fedora 28 und 29 Sicherheitsupdates in Form der Pakete 'perl-5.26.3-415.fc28' und 'perl-5.28.1-425.fc29' bereit, die sich derzeit noch im Status 'pending' befinden.

Für OpenBSD 6.3 und 6.4 stehen Patches (Errata) als Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Debian behebt diese Schwachstellen mit Backport-Sicherheitsupdates für Debian Stretch (stable).

Schwachstellen:

CVE-2018-18311

Schwachstelle in Perl ermöglicht Denial-of-Service-Angriff

CVE-2018-18312

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-18313