Összefoglaló
A Perl több magas besorolású sérülékenységét jelentették, melyeket kihasználva egy helyi felhasználó bizalmas információkat szerezhet, szolgáltatás megtagadást idézhet elő, vagy tetszőleges kódot hajthat végre.
Leírás
- Egy speciálisan megszerkesztett reguláris kifejezést tartalmazó Perl kód futtatásával Heap túlcsordulást lehet előidézni a ‘regcomp.c’ fájl S_regatom() függvényében, ami a rendszer összeomlásához vezethet.
- Egy speciálisan megszerkesztett lokalizált reguláris kifejezést tartalmazó Perl kód futtatásával Heap területen kívüli olvasási műveletet lehet végrehajtani, és így potenciálisan bizalmas információkhoz lehet hozzáférni.
- Egy speciálisan megszerkesztett pack() függvényhívással olyan Perl kódot lehet futtatni, amely Heap túlcsordulást, és tetszőleges kód végrehajtását vagy a rendszer összeomlását idézheti elő.
A sérülékenységeket távoli felhasználók vagy támadók is ki tudják használni, amennyiben van lehetőségük fájlokat feltölteni és Perl script-eket futtatni.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: search.cpan.org
Gyártói referencia: rt.perl.org
Gyártói referencia: rt.perl.org
Gyártói referencia: rt.perl.org
Egyéb referencia: securitytracker.com
CVE-2018-6797 - NVD CVE-2018-6797
CVE-2018-6798 - NVD CVE-2018-6798
CVE-2018-6913 - NVD CVE-2018-6913