[Fedora] Schwachstelle im Modul perl-CGI vor Version 3.51 – FEDORA-2011-0654

[Fedora] Schwachstelle im Modul perl-CGI vor Version 3.51 - FEDORA-2011-0654

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-2761 – Schwachstelle im CGI Perl Modul (cgi.pm)

Im CGI Perl Modul (cgi.pm), das zum Beispiel von Bugzilla genutzt wird,
werden Zeichenketten zum Trennen von MIME-Inhalten
(multipart/x-mixed-replace) in einer unsicheren Weise verwendet. Dies
laesst sich zum Einschleusen von HTML-Headern ausnutzen, wodurch “HTTP
Response Splitting”-Angriffe durchgefuehrt werden koennen. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen, um an
vertrauliche Informationen zu gelangen und schlimmstenfalls beliebige
HTML- und Skriptbefehle mit den Rechten des Anwenders zur Ausfuehrung zu
bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket perl

Fedora 14
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-0654
2011-01-21 22:14:29
– ——————————————————————————–

Name : perl-CGI
Product : Fedora 13
Version : 3.51
Release : 1.fc13
URL : http://search.cpan.org/dist/CGI
Summary : Handle Common Gateway Interface requests and responses
Description :
CGI.pm is a stable, complete and mature solution for processing and preparing
HTTP requests and responses. Major features including processing form
submissions, file uploads, reading and writing cookies, query string generation
and manipulation, and processing and preparing HTTP headers. Some HTML
generation utilities are included as well.

CGI.pm performs very well in in a vanilla CGI.pm environment and also comes
with built-in support for mod_perl and mod_perl2 as well as FastCGI.

– ——————————————————————————–
Update Information:

Update to version 3.51, extending the fix for CVE-2010-2761.
– ——————————————————————————–
References:

[ 1 ] Bug #657950 – perl-5.12.2/CGI-3.50 security update
https://bugzilla.redhat.com/show_bug.cgi?id=657950
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update perl-CGI’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNR9ORAAoJEJtyb8U7iGZBqNgH/2iRgFQHQk3geBD6yzmu9RDo
nzlTCScAExP218Ty/usuTsAIwmqhRqbqjmwMvPnNOwgVoVwk0mDd/PWcYHBOhSo6
4hQBdBnTI0/9BUNyxK6SrOHYXk+upFX8XtLJSzGsazlyPnKp62iYKyDDCxbXO5c5
beCQR1vy1j3TC7ZqHw4W9Fa5ZieEKTw6jyknGZ8yOsBn+IZ3euNXO5mJN0z6Nf3f
UrwxTKXtw/BZ10FoZB4VG42QqLBOsYirtZlgAlVh3Zhk2D1Fqsj8QuGtWee9kftn
/sDdvea5IJHhdGeL4tMEswA3gf6V467kgcZf68CPAR/39I8o6yBDRIJMOvyrLfo=
=/MLD
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben