Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Perl PERLIO_DEBUG : Vulnérabilités d'Elévation de Privilèges

22/01/2007 09H50
Référence Secunia : SA14120 
Date de publication : 2005-02-03
Dernière mise à jour : 2005-02-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
Perl 5.x

Référence CVE :
CVE-2005-0156


Description :
Kevin Finisterre a rapporté deux vulnérabilités dans Perl, qui pourraient être exploitées par des utilisateurs locaux malveillants pour obtenir des privilèges plus élevés.

1) Une erreur dans l'interprétation de debug message output dans setuid root perl scripts pourrait être exploitée à output debug messages à des fichiers arbitraires en manipulant the "PERLIO_DEBUG" variable d'environnement.

2) Une erreur de limitation dans l'interprétation de la variable d'environnement "PERLIO_DEBUG" pourrait être exploitée pour causer un buffer overflow et d'exécuter des commandes arbitraires avec les privilèges ROOT en appelant a setuid root perl script avec a specially crafted, overly long "PERLIO_DEBUG" variable d'environnement.


Solutions :
Only accorder des utilisateurs de confiance accéder aux systèmes affectés.


Vulnérabilité découverte par :

Kevin Finisterre
Historique :
2005-02-08: Ajout de liens à original advisories.

Référence :
http://www.digitalmunition.com/DMA[2005-0131a].txt
http://www.digitalmunition.com/DMA[2005-0131b].txt




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080521 Gentoo mise à jour pour perl et libperl
20080501 Fedora mise à jour pour perl Imager
20080327 Mandriva mise à jour pour perl Tk
20080321 Mandriva mise à jour pour perl Net DNS
20080312 Perl NetDNS Module Reponse DNS Déni de Service
20071106 Perl Regular Expressions Unicode Data Buffer Overflow
20071106 Perl ArchiveTar Vulnérabilité de Traversée de Répertoires
20070717 rPath mise à jour pour perl Net DNS
20070713 Mandriva mise à jour pour perl Net DNS
20070712 Red Hat mise à jour pour perl Net DNS
20070627 Perl NetDNS Module Deux Vulnérabilités
20060508 2005 Comments Script Vulnérabilités Diverses
20060127 Mandriva mise à jour pour perl Net SSLeay
20051201 Perl Explicit Format Parameter Index Dépassement d'Entier
20051027 Mandriva mise à jour pour perl Compress Zlib
20051017 Gentoo mise à jour pour perl qt unixodbc cmake
20050906 Fedora mise à jour pour perl DBI
20050504 Perl NetSSLeay Module Entropy Source Manipulation
20050427 Perl ConvertUUlib Module Vulnérabilité de Dépassement de Tampon
20050309 Ubuntu mise à jour pour perl modules
20050309 Perl FilePathrmtree Directory Permissions Race Condition
20050203 Perl PERLIO DEBUG Vulnérabilités d'Elévation de Privilèges
20050202 Red Hat mise à jour pour perl DBI
20050127 Perl DBI ProxyServer pm Création Non Sécurisée de Fichiers Temporaires
20050127 Gentoo mise à jour pour perl dbi
20041226 Perl FilePathrmtree Race Condition
20041221 PERL CryptECB Module ASCII 0 Encoding Faille de Sécurité
20041028 Perl Multiple Scripts Création Non Sécurisée de Fichiers Temporaires Vulnérabilités
20040406 Perl win32 stat Function Vulnérabilité de Dépassement de Tampon
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe