Perl Dancer.pm HTTP头注入漏洞

admin
admin
admin
0
文章
0
评论
2022-07-24 07:32:58 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Perl Dancer.pm HTTP头注入漏洞

  • CNNVD编号:CNNVD-201212-042
  • 危害等级: 中危
  • CVE编号: CVE-2012-5572
  • 漏洞类型: 输入验证
  • 发布时间: 2012-11-26
  • 威胁类型: 远程
  • 更新时间: 2014-06-03
  • 厂        商: dancer
  • 漏洞来源: vlet

漏洞简介

Dancer是法国软件开发者Alexis Sukrieh所研发的一个基于Perl语言的Web应用框架。

Dancer 1.3113及之前版本的cookie方法(lib/Dancer/Cookie.pm)中存在CRLF注入漏洞。远程攻击者可借助cookie名利用该漏洞注入任意HTTP头,实施HTTP响应拆分攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:

http://perldancer.org/

参考网址

来源:MLIST

名称:[oss-security] 20121126 Re: CVE Request -- Dancer.pm / perl-Dancer / libdancer-perl: Newline injection due to improper CRLF escaping in cookie() and cookies() methods (different vulnerability than CVE-2012-5526)

链接:http://www.openwall.com/lists/oss-security/2012/11/26/10

来源:advisories.mageia.org

链接:http://advisories.mageia.org/MGASA-2013-0183.HTML

来源:MANDRIVA

名称:MDVSA-2013:184

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2013:184

来源:github.com

链接:https://github.com/PerlDancer/Dancer/issues/859

来源:github.com

链接:https://github.com/PerlDancer/Dancer/blob/devel/CHANGES

来源:FEDORA

名称:FEDORA-2013-9950

链接:https://lists.fedoraproject.org/pipermail/package-announce/2013-June/108749.HTML

来源: BID

名称: 56711

链接:http://www.securityfocus.com/bid/56711

受影响实体

  • Dancer Dancer:1.3060  
  • Dancer Dancer:1.150  
  • Dancer Dancer:1.3079_5  
  • Dancer Dancer:1.3079_3  
  • Dancer Dancer:1.3071  

补丁

  • Dancer-1.3114
  • Dancer-1.3114

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0