Perl Heap Overflow sérülékenységek

CH azonosító

CH-14403

Angol cím

Perl Heap Overflows Let Users Obtain Potentially Sensitive Information, Deny Service, and Execute Arbitrary Code

Felfedezés dátuma

2018.04.14.

Súlyosság

Magas

Érintett rendszerek

Perl

Érintett verziók

Perl 5.x

Összefoglaló

A Perl több magas besorolású sérülékenységét jelentették, melyeket kihasználva egy helyi felhasználó bizalmas információkat szerezhet, szolgáltatás megtagadást idézhet elő, vagy tetszőleges kódot hajthat végre.

Leírás

  • Egy speciálisan megszerkesztett reguláris kifejezést tartalmazó Perl kód futtatásával Heap túlcsordulást lehet előidézni a ‘regcomp.c’ fájl S_regatom() függvényében, ami a rendszer összeomlásához vezethet.
  • Egy speciálisan megszerkesztett lokalizált reguláris kifejezést tartalmazó Perl kód futtatásával Heap területen kívüli olvasási műveletet lehet végrehajtani, és így potenciálisan bizalmas információkhoz lehet hozzáférni.
  • Egy speciálisan megszerkesztett pack() függvényhívással olyan Perl kódot lehet futtatni, amely Heap túlcsordulást, és tetszőleges kód végrehajtását vagy a rendszer összeomlását idézheti elő.

A sérülékenységeket távoli felhasználók vagy támadók is ki tudják használni, amennyiben van lehetőségük fájlokat feltölteni és Perl script-eket futtatni.

Megoldás

Frissítsen a legújabb verzióra