漏洞信息详情
Perl Dancer.pm HTTP头注入漏洞
- CNNVD编号:CNNVD-201212-042
- 危害等级: 中危
- CVE编号: CVE-2012-5572
- 漏洞类型: 输入验证
- 发布时间: 2012-11-26
- 威胁类型: 远程
- 更新时间: 2014-06-03
- 厂 商: dancer
- 漏洞来源: vlet
漏洞简介
Dancer是法国软件开发者Alexis Sukrieh所研发的一个基于Perl语言的Web应用框架。
Dancer 1.3113及之前版本的cookie方法(lib/Dancer/Cookie.pm)中存在CRLF注入漏洞。远程攻击者可借助cookie名利用该漏洞注入任意HTTP头,实施HTTP响应拆分攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://perldancer.org/
参考网址
来源:MLIST
名称:[oss-security] 20121126 Re: CVE Request -- Dancer.pm / perl-Dancer / libdancer-perl: Newline injection due to improper CRLF escaping in cookie() and cookies() methods (different vulnerability than CVE-2012-5526)
链接:http://www.openwall.com/lists/oss-security/2012/11/26/10
来源:advisories.mageia.org
链接:http://advisories.mageia.org/MGASA-2013-0183.HTML
来源:MANDRIVA
名称:MDVSA-2013:184
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2013:184
来源:github.com
链接:https://github.com/PerlDancer/Dancer/issues/859
来源:github.com
链接:https://github.com/PerlDancer/Dancer/blob/devel/CHANGES
来源:FEDORA
名称:FEDORA-2013-9950
链接:https://lists.fedoraproject.org/pipermail/package-announce/2013-June/108749.HTML
来源: BID
名称: 56711
链接:http://www.securityfocus.com/bid/56711
受影响实体
- Dancer Dancer:1.3060
- Dancer Dancer:1.150
- Dancer Dancer:1.3079_5
- Dancer Dancer:1.3079_3
- Dancer Dancer:1.3071
补丁
- Dancer-1.3114
- Dancer-1.3114
评论