—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-1447 – Schwachstelle in der PL/Perl Implementierung in
PostgreSQL

PostgreSQL enthaelt eine Schwachstelle in der Implementierung des Moduls
Safe.pm im PL/Perl-Modul. Perl-Scripte, welche im Safe-Mode ausgefuehrt
werden, koennen ueber speziell praeparierte Referenzen auf Subroutinen
aus diesem ausbrechen. Dies fuehrt dazu, dass Perl-Scripte unter
Umstaenden mit erweiterten Rechten ausgefuehrt werden. Ein lokaler
Angreifer, dem es gelingt diese Schwachstelle auszunutzen, kann
beliebige Perl-Scripte mit den Rechten des Datenbank-Servers ausfuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket perl in Debian GNU/Linux 5.0 (lenny) vor Version 5.10.0-19lenny5
Paket perl in Debian GNU/Linux 6.0 (squeeze) vor Version
5.10.1-17squeeze2
Paket perl in Debian GNU/Linux unstable (sid) vor Version 5.12.3-1

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2267-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
July 01, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : perl
Vulnerability : restriction bypass
Problem type : local
Debian-specific: no
CVE ID : CVE-2010-1447
Debian Bug : 631529

It was discovered that Perl’s Safe module – a module to compile and
execute code in restricted compartments – could by bypassed.

Please note that this update is known to break Petal, an XML-based
templating engine (shipped with Debian 6.0/Squeeze in the package
libpetal-perl, see http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=582805
for details). A fix is not yet available. If you use Petal, you might
consider to put the previous Perl packages on hold.

For the oldstable distribution (lenny), this problem has been fixed in
version 5.10.0-19lenny5.

For the stable distribution (squeeze), this problem has been fixed in
version 5.10.1-17squeeze2.

For the unstable distribution (sid), this problem has been fixed in
version 5.12.3-1.

We recommend that you upgrade your perl packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk4OCOMACgkQXm3vHE4uylpFjwCgxNO0AgBmr0EM17E3rbK4Yxfo
2/gAoIuX2QExRCbSywe476I8kyKsojEq
=Lcl2
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOEYhYAAoJEJtyb8U7iGZB4/IH/1+a79iIMf5cF2Sgh2nzge1c
0QAMk6K1XqcnqchJ9pY2duVXHWaE/40jAQ+K9DWco1Lcjxh6+TfTEyCf7mvl7nHp
MXUTmYveNxC27Mf/34XLWQ7hZlJshxj3F6MLhiOxNWLqDY45zVsdEW8/E9zSBtqv
XetLNEADjbZeJMhlC0ERLxMjqyLhYjlJnJAZk17acC/tJuvhG3BDvPcFCM47fXVh
3T4iaLAZ9Ziws9P+q0H/uOKqtThkZ2lK6uICe3JMIQMU4EAS3JA6B41DDQOZaIef
6yICuqymNLaqhW25zBdX6N6LAbNslWe7gf1kW5TMkfuidZiKnAc9XeJTEK9jstE=
=BFID
—–END PGP SIGNATURE—–