Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

PERL WIN32 versions 5.8.3 et antérieures.

Résumé

Une vulnérabilité dans la fonction win32_stat de PERL WIN32 permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine cible.

Description

L'envoi d'une requête HTTP judicieusement composée vers un serveur utilisant la fonction win32_stat permet, par le biais d'un débordement de mémoire, d'exécuter du code arbitraire à distance.

Solution

  • La version 5.8.4 de PERL corrigera cette vulnérabilité ;

  • Correctif pour la version PERL 5.8.x :

    http://public.activestate.com/cgi-bin/perlbrowse?patch=22552
    
  • Correctif pour la version PERL 5.9.x en développement :

    http://public.activestate.com/cgi-bin/perlbrowse?patch=22466
    

Documentation