Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Perl
Betroffene Plattformen:
Sun Solaris 9
Sun Solaris 10 für SPARC ohne Patch 146032-05
Sun Solaris 10 für x86 ohne Patch 146033-05
Eine Schwachstelle im CGI Perl Modul ermöglicht einem entfernten Angreifer
an vertrauliche Informationen zu gelangen und schlimmstenfalls beliebige
HTML- und Skriptbefehle mit den Rechten des Anwenders zur Ausführung zu
bringen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2010-2761: Schwachstelle im CGI Perl Modul (cgi.pm)
Im CGI Perl Modul (cgi.pm), das zum Beispiel von Bugzilla genutzt wird,
werden Zeichenketten zum Trennen von MIME-Inhalten
(multipart/x-mixed-replace) in einer unsicheren Weise verwendet. Dies läßt
sich zum Einschleusen von HTML-Headern ausnutzen, wodurch “HTTP Response
Splitting”-Angriffe durchgeführt werden können. Ein entfernter Angreifer
kann diese Schwachstelle ausnutzen, um an vertrauliche Informationen zu
gelangen und schlimmstenfalls beliebige HTML- und Skriptbefehle mit den
Rechten des Anwenders zur Ausführung zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1908/
Das Hersteller Advisory:
https://blogs.oracle.com/sunsecurity/entry/cve_2010_2761_code_injection
Schwachstelle CVE-2010-2761:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2761
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
