Risque
- Exécution de code arbitraire à distance
Systèmes affectés
PERL WIN32 versions 5.8.3 et antérieures.
Résumé
Une vulnérabilité dans la fonction win32_stat de PERL WIN32 permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine cible.
Description
L'envoi d'une requête HTTP judicieusement composée vers un serveur utilisant la fonction win32_stat permet, par le biais d'un débordement de mémoire, d'exécuter du code arbitraire à distance.
Solution
-
La version 5.8.4 de PERL corrigera cette vulnérabilité ;
-
Correctif pour la version PERL 5.8.x :
http://public.activestate.com/cgi-bin/perlbrowse?patch=22552
-
Correctif pour la version PERL 5.9.x en développement :
http://public.activestate.com/cgi-bin/perlbrowse?patch=22466
Documentation
- Bulletin de sécurité de iDEFENSE 04.05.04 : http://www.idefense.com/application/poi/display?id=93&type=vulnerabilities