Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libperl5.20
(any)
libperl5.24
(any)
libperl-dev
(any)
perl
(any)
perl-base
(any)
perl-debug
(any)
perl-doc
(any)
perl-modules
(any)
perl-modules-5.24
(any)
Описание
В реализации языка программирования Perl были обнаружены многочисленные
уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2018-6797
Брайан Карпентер сообщил, что специально сформированное регулярное выражение
может вызывать переполнение динамической памяти с записью, причём записываемые байты
могут контролироваться злоумышленником.
CVE-2018-6798
Нгуиен Дук Ман сообщил, что сравнение с зависящим от локали регулярным
выражением может вызвать переполнение динамической памяти с чтением и
потенциальное раскрытие информации.
CVE-2018-6913
ГванЕонг Ким сообщил, что функция pack() при работе с большим числом
элементов может вызывать переполнение динамической памяти с
записью.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 5.20.2-3+deb8u10. Обновление для предыдущего стабильного выпуска (jessie)
содержит только исправление для CVE-2018-6913.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 5.24.1-3+deb9u3.
Рекомендуется обновить пакеты perl.
С подробным статусом поддержки безопасности perl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/perl">https://security-tracker.debian.org/tracker/perl">https://security-tracker.debian.org/tracker/perl
уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2018-6797
Брайан Карпентер сообщил, что специально сформированное регулярное выражение
может вызывать переполнение динамической памяти с записью, причём записываемые байты
могут контролироваться злоумышленником.
CVE-2018-6798
Нгуиен Дук Ман сообщил, что сравнение с зависящим от локали регулярным
выражением может вызвать переполнение динамической памяти с чтением и
потенциальное раскрытие информации.
CVE-2018-6913
ГванЕонг Ким сообщил, что функция pack() при работе с большим числом
элементов может вызывать переполнение динамической памяти с
записью.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 5.20.2-3+deb8u10. Обновление для предыдущего стабильного выпуска (jessie)
содержит только исправление для CVE-2018-6913.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 5.24.1-3+deb9u3.
Рекомендуется обновить пакеты perl.
С подробным статусом поддержки безопасности perl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/perl">https://security-tracker.debian.org/tracker/perl">https://security-tracker.debian.org/tracker/perl
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libperl-dev - 5.24.1-3+deb9u3
libperl5.24 - 5.24.1-3+deb9u3
perl - 5.24.1-3+deb9u3
perl-base - 5.24.1-3+deb9u3
perl-debug - 5.24.1-3+deb9u3
perl-doc - 5.24.1-3+deb9u3
perl-modules-5.24 - 5.24.1-3+deb9u3
Debian GNU/Linux 8:
noarch:
libperl-dev - 5.20.2-3+deb8u10
libperl5.20 - 5.20.2-3+deb8u10
perl - 5.20.2-3+deb8u10
perl-base - 5.20.2-3+deb8u10
perl-debug - 5.20.2-3+deb8u10
perl-doc - 5.20.2-3+deb8u10
perl-modules - 5.20.2-3+deb8u10
Debian GNU/Linux 9:
noarch:
libperl-dev - 5.24.1-3+deb9u3
libperl5.24 - 5.24.1-3+deb9u3
perl - 5.24.1-3+deb9u3
perl-base - 5.24.1-3+deb9u3
perl-debug - 5.24.1-3+deb9u3
perl-doc - 5.24.1-3+deb9u3
perl-modules-5.24 - 5.24.1-3+deb9u3
Debian GNU/Linux 8:
noarch:
libperl-dev - 5.20.2-3+deb8u10
libperl5.20 - 5.20.2-3+deb8u10
perl - 5.20.2-3+deb8u10
perl-base - 5.20.2-3+deb8u10
perl-debug - 5.20.2-3+deb8u10
perl-doc - 5.20.2-3+deb8u10
perl-modules - 5.20.2-3+deb8u10
Ссылки
http://www.debian.org/security/dsa-4172/
Источник: CVE
Наименование: CVE-2018-6797
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6797
Источник: CVE
Наименование: CVE-2018-6798
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6798
Источник: CVE
Наименование: CVE-2018-6913
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6913
Источник: CVE
Наименование: CVE-2018-6797
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6797
Источник: CVE
Наименование: CVE-2018-6798
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6798
Источник: CVE
Наименование: CVE-2018-6913
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6913