DFN-CERT-2016-1106 Perl: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Mon Jul 11 14:10:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Perl
  

Betroffene Plattformen:

  Red Hat Fedora 22
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode ausführen, indem er an einer bestimmten Stelle ein Verzeichnis
mit einer speziell präparierten ausführbaren Datei erstellt, die automatisch
geladen wird, sobald ein bestimmtes Programmskript im übergeordneten
Verzeichnis ausgeführt wird.

Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für Perl 5.20.3 (Fedora
22) im Status 'pending' sowie 5.22.2 (Fedora 23, Fedora 24) im Status
'testing' bereit, mit denen die Bibliothek XSLoader auf Version 0.22
aktualisiert und die Schwachstelle behoben wird.


Patch:

  Fedora Security Update FEDORA-2016-485dff6060 (Fedora 24, perl-5.22.2)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-485dff6060>

Patch:

  Fedora Security Update FEDORA-2016-742bde2be7 (Fedora 23, perl-5.22.2)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-742bde2be7>

Patch:

  Fedora Security Update FEDORA-2016-eb2592245b (Fedora 22, perl-5.20.3)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-eb2592245b>


CVE-2016-6185: Schwachstelle in Perl ermöglicht Ausführung beliebigen
  Programmcodes

  Die Bibliothek XSLoader, mit der sich dynamisch C-Bibliotheken in Perl
  einbinden lassen, lässt relative Pfadangaben, die nicht aus '@INC'
  (Perl-Modul DynaLoader) stammen, als Eingangsparameter zu.
  
  


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1106/>

Fedora Security Update FEDORA-2016-485dff6060 (Fedora 24, perl-5.22.2):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-485dff6060>

Fedora Security Update FEDORA-2016-742bde2be7 (Fedora 23, perl-5.22.2):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-742bde2be7>

Fedora Security Update FEDORA-2016-eb2592245b (Fedora 22, perl-5.20.3):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-eb2592245b>

Schwachstelle CVE-2016-6185 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6185>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160711/625bf342/attachment.bin>


More information about the Security-Announce mailing list