perl-5.8.8-32.6.0.1.AXS3

エラータID: AXSA:2011-563:02

リリース日: 
2011/12/27 Tuesday - 19:34
題名: 
perl-5.8.8-32.6.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- (1) CGI.pm の multipart_init 関数と (2) CGI::Simple の Simple.pm には,<br />
multipart/x-mixed-replace content の MIME 境界文字列の値にハードコーディングされた値を使用していたため,リモートの攻撃者が任意の HTTP ヘッダを注入したり,HTTP レスポンス分割攻撃を引き起こす脆弱性があります。<br />
なお,この脆弱性は CVE-2010-3172 とは異なる脆弱性です。(CVE-2010-2761)<br />
<br />
- (1) CGI.pm の header 関数と (2) Simple.pm の CGI::Simple 関数には CRLF 注入脆弱性が存在し,改行文字の後に続く非ホワイトスペース文字によって,リモートの攻撃者が任意の HTTP ヘッダを注入し,HTTP レスポンス分割攻撃を行う脆弱性があります。<br />
なお,CVE-2010-2761 と CVE-2010-3172 とは異なる脆弱性です。(CVE-2010-4410)<br />
<br />
- 現時点では CVE-2011-3597 の情報が公開されておりません。<br />
CVEの情報が公開され次第情報をアップデートいたします。<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/ <br />

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2010-2761
The multipart_init function in (1) CGI.pm before 3.50 and (2) Simple.pm in CGI::Simple 1.112 and earlier uses a hardcoded value of the MIME boundary string in multipart/x-mixed-replace content, which allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via crafted input that contains this value, a different vulnerability than CVE-2010-3172.
CVE-2010-4410
CRLF injection vulnerability in the header function in (1) CGI.pm before 3.50 and (2) Simple.pm in CGI::Simple 1.112 and earlier allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via vectors related to non-whitespace characters preceded by newline characters, a different vulnerability than CVE-2010-2761 and CVE-2010-3172.
CVE-2011-3597
Eval injection vulnerability in the Digest module before 1.17 for Perl allows context-dependent attackers to execute arbitrary commands via the new constructor.




追加情報: 

N/A

ダウンロード: 

SRPMS
  1. perl-5.8.8-32.6.0.1.AXS3.src.rpm
    MD5: 30866daa446924b3ac5ddb876a01b1c3
    SHA-256: 6d0c9be402f5c89dfc741188c82304256a15079eb681116a152153eebcf5f769
    Size: 9.89 MB

Asianux Server 3 for x86
  1. perl-5.8.8-32.6.0.1.AXS3.i386.rpm
    MD5: 973cfcbab39aad3ee02cf1ef0e08a336
    SHA-256: 7d4f530ba94261f5502700e7fafb5a17bd1909c6c29c169027e5291846a9325f
    Size: 11.61 MB
  2. perl-suidperl-5.8.8-32.6.0.1.AXS3.i386.rpm
    MD5: 5898e563b2b107566bce2b769ece1f89
    SHA-256: bd7addcd67249d94acfd2eb872cd5ff133293bc334f3ff8829b0dbf820b0ef48
    Size: 62.91 kB

Asianux Server 3 for x86_64
  1. perl-5.8.8-32.6.0.1.AXS3.x86_64.rpm
    MD5: c47e77691fb7027a333bedaea26fb8ab
    SHA-256: 512aa566690ca356b0a975f87b7b804c04eec7d40c8ff819d9aa47d2edb280fe
    Size: 12.24 MB
  2. perl-suidperl-5.8.8-32.6.0.1.AXS3.x86_64.rpm
    MD5: 0fa51202cf00067a24585592e13413a9
    SHA-256: 799d05e60eafe3672099dbf9d07b9c7024765bebdcaf8568eac801969051d9d2
    Size: 63.68 kB