A Perl Safe moduljának biztonsági sérülékenységei


2010. július 12. 13:06

CH azonosító

CH-3301

Felfedezés dátuma

2010.07.11.

Súlyosság

Alacsony

Érintett rendszerek

Perl
Safe module

Érintett verziók

RedHat Enterprise Linux WS 3, 4
RedHat Enterprise Linux ES 3, 4
RedHat Enterprise Linux AS 3, 4
RedHat Enterprise Linux Desktop 4, 5 client
RedHat Enterprise Linux Desktop version 4
RedHat Enterprise Linux 5 server
RedHat Desktop 3.0
Pardus Linux 2009
MandrakeSoft Multi Network Firewall 2.0
MandrakeSoft Linux Mandrake 2010.0, 2009.x, 2008.x
MandrakeSoft Enterprise Server 5
MandrakeSoft Corporate Server 4.0
Larry Wall Perl 5.x
Avaya Voice Portal 4.x
Avaya Proactive Contact 4.x
Avaya Messaging Storage Server
Avaya Message Networking
Avaya Meeting Exchange 5.0
Avaya Intuity AUDIX LX R1.1, 1.0, 2.0
Avaya Aura SIP Enablement Services 3.x, 4.x, 5.x
Avaya Aura Communication Manager 4.x, 5.x
Avaya Aura Application Enablement Services 4.x

Összefoglaló

A Perl Safe moduljának több olyan sérülékenységét jelentették, amelyeket kihasználva megkerülhetőek bizonyos korlázotások. A sérülékenységek sikeres kihasználása lehetővé teszi, hogy a támadó jogosulatlanul tetszőleges Perl kódot futtasson.

Leírás

A Safe modul nem korlátozza megfelelően a belülről indított eljárás hívásokat (például a DESTROY és az AUTOLOAD). Ezeket az eljárásokat a Safe korlátozások nélkül futtatja, így egy speciálisan erre a célra elkészített Perl script futtatható a Safe valamelyik belső szakaszából, ami kihasználható a Safe modul által beállított korlátozások megkerülésére.

A Safe 2.27 verziójánál korábbi verziók sérülékenyek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: bugzilla.redhat.com
Gyártói referencia: bugzilla.redhat.com
Gyártói referencia: support.avaya.com
Gyártói referencia: blogs.perl.org
Gyártói referencia: cpansearch.perl.org
Egyéb referencia: www.securityfocus.com
Egyéb referencia: www.securityfocus.com
Egyéb referencia: permalink.gmane.org
Egyéb referencia: search.cpan.org
CVE-2010-1447 - NVD CVE-2010-1447
CVE-2010-1168 - NVD CVE-2010-1168
CVE-2010-1974 - NVD CVE-2010-1974

Legfrissebb sérülékenységek
CVE-2018-9276 – Paessler PRTG Network Monitor OS Command Injection sebezhetősége
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
Tovább a sérülékenységekhez »