[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Mehrere Schwachstellen in Perl - FEDORA-2010-11323
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-1168 - Schwachstelle im Perl Modul Safe.pm
Das Perl Modul Safe enthaelt eine Schwachstelle in der Evaluation von
Perl-Code, welche es erlaubt, den Code implizit aufgerufener Methoden
(wie Beispielsweise 'DESTROY' oder 'AUTOLOAD') mit erweiterten Rechten
aufzurufen. Grund hierfuer ist ein Fehler bei der Evaluation von
Objekten fuer die implizit die Funktion 'bless()' aufgerufen wurde. Ein
Angreifer kann diese Schwachstelle mit speziell praeparierten
Perl-Skripten ausnutzen und so beliebige Befehle mit erweiterten
Rechten ausfuehren.
CVE-2010-1447 - Schwachstelle in der PL/Perl Implementierung in
PostgreSQL
PostgreSQL enthaelt eine Schwachstelle in der Implementierung des
Moduls Safe.pm im PL/Perl-Modul. Perl-Skripte, welche im Safe-Mode
ausgefuehrt werden, koennen ueber speziell praeparierte Referenzen auf
Subroutinen aus diesem ausbrechen. Dies fuehrt dazu, dass Perl-Scripte
unter Umstaenden mit erweiterten Rechten ausgefuehrt werden. Ein lokaler
Angreifer, dem es gelingt diese Schwachstelle auszunutzen, kann
beliebige Perl-Scripte mit den Rechten des Datenbank-Servers ausfuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket perl
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
- --
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-11323
2010-07-23 01:55:39
- --------------------------------------------------------------------------------
Name : perl
Product : Fedora 13
Version : 5.10.1
Release : 116.fc13
URL : http://www.perl.org/
Summary : Practical Extraction and Report Language
Description :
Perl is a high-level programming language with roots in C, sed, awk
and shell scripting. Perl is good at handling processes and files,
and is especially good at handling text. Perl's hallmarks are
practicality and efficiency. While it is used to do a lot of
different things, Perl's most common applications are system
administration utilities and web programming. A large proportion of
the CGI scripts on the web are written in Perl. You need the perl
package installed on your system so that your system can handle Perl
scripts.
Install this package if you want to program in Perl or enable your
system to handle Perl scripts.
- --------------------------------------------------------------------------------
Update Information:
CVE-2010-1168 perl Safe: Intended restriction bypass via object references
CVE-2010-1447 perl: Safe restriction bypass when reference to subroutine in
compartment is called from outside Perl leaked memory with ENV.
- --------------------------------------------------------------------------------
ChangeLog:
* Fri Jul 23 2010 Marcela MaÅ¡láÅ?ová <mmaslano@xxxxxxxxxx> - 4:5.10.1-116
- - 575842 remove -DPERL_USE_SAFE_PUTENV from Configure. All related bugs were
tested with perl compiled without this option.
* Wed Jul 21 2010 Marcela MaÅ¡láÅ?ová <mmaslano@xxxxxxxxxx> - 4:5.10.1-115
- - CVE-2010-1168 perl Safe: Intended restriction bypass via object references
- - CVE-2010-1447 perl: Safe restriction bypass when reference to subroutine in
compartment is called from outside
- - Resolves: rhbz#588269, rhbz#576508
- - 576824 backport unpack patch from upstream:
http://rt.perl.org/rt3//Public/Bug/Display.html?id=73814
* Fri Jul 9 2010 Petr Pisar <ppisar@xxxxxxxxxx> - 4:5.10.1-114
- - Add Digest::SHA requirement to perl-CPAN and perl-CPANPLUS (bug #612563)
* Wed Jul 7 2010 Petr Pisar <ppisar@xxxxxxxxxx> - 4:5.10.1-113
- - fix incorrect return code on failed extraction by upgrading Archive::Tar
to 1.62 (bug #607687)
- - remove unused patches and renumber used ones
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #576508 - CVE-2010-1168 perl Safe: Intended restriction bypass via object references
https://bugzilla.redhat.com/show_bug.cgi?id=576508
[ 2 ] Bug #588269 - CVE-2010-1447 perl: Safe restriction bypass when reference to subroutine in compartment is called from outside
https://bugzilla.redhat.com/show_bug.cgi?id=588269
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update perl' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkxX2U8ACgkQWmhIvjFb90VcFgCgjhavsUheFfrbTdUwSHD2w+U0
kaMAoIjOFMN5j+dKruCRLHdslUiKBhM+
=UQ/J
-----END PGP SIGNATURE-----