漏洞信息详情
Perl SuidPerl多个本地漏洞
- CNNVD编号:CNNVD-200502-006
- 危害等级: 低危
- CVE编号: CVE-2005-0156
- 漏洞类型: 缓冲区溢出
- 发布时间: 2005-02-07
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: larry_wall
- 漏洞来源: Martin Pitt※ marti...
漏洞简介
Perl是流行的跨平台编程语言。 部分Perl脚本在处理PERLIO_DEBUG变量时存在问题,本地攻击者可以利用这个漏洞破坏系统文件或进行缓冲区溢出攻击。 攻击者可以通过设置PERLIO_DEBUG环境变量和调用任意setuid-root perl脚本来覆盖任何文件,PERLIO_DEBUG指向的文件然后会被PERL调试消息所覆盖,这个问题不能精确控制文件内容,但可以破坏重要数据。 另外如果PERLIO_DEBUG设置,调用带超长路径的setuid-perl脚本,可导致缓冲区溢出,精心构建提交数据可能以root用户权限执行任意指令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://lwn.net/Alerts/122393/?format=printable http://lwn.net/Alerts/195043 http://lwn.net/Alerts/123652/?format=printable http://security.gentoo.org/glsa/glsa-200502-13.xml
参考网址
来源: XF 名称: perl-perliodebug-bo(19208) 链接:http://xforce.iss.net/xforce/xfdb/19208 来源: TRUSTIX 名称: 2005-0003 链接:http://www.trustix.org/errata/2005/0003/ 来源: BID 名称: 12426 链接:http://www.securityfocus.com/bid/12426 来源: REDHAT 名称: RHSA-2005:105 链接:http://www.redhat.com/support/errata/RHSA-2005-105.HTML 来源: REDHAT 名称: RHSA-2005:103 链接:http://www.redhat.com/support/errata/RHSA-2005-103.HTML 来源: GENTOO 名称: GLSA-200502-13 链接:http://www.gentoo.org/security/en/glsa/glsa-200502-13.xml 来源: MISC 链接:http://www.digitalmunition.com/DMA%5B2005-0131b%5D.txt 来源: FULLDISC 名称: 20050207 DMA[2005-0131b] - 'Setuid Perl PERLIO_DEBUG 链接:http://marc.theaimsgroup.com/?l=full-disclosure&m=110779721503111&w=2 来源: BUGTRAQ 名称: 20050202 [USN-72-1] Perl vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110737149402683&w=2 来源: MANDRAKE 名称: MDKSA-2005:031 链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:031 来源: SECUNIA 名称: 14120 链接:http://secunia.com/advisories/14120 来源: FEDORA 名称: FLSA-2006:152845 链接:http://fedoranews.org/updates/FEDORA--.sHTML 来源: CONECTIVA 名称: CLSA-2006:1056 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=001056
受影响实体
- Larry_wall Perl:5.8.0
- Ubuntu Ubuntu_linux:4.1:Ppc
- Ubuntu Ubuntu_linux:4.1:Ia64
补丁
暂无
评论