Sicherheitslücke in Perl für Windows
In den ActivePerl-Perl-Implementierungen für Windows ist ein Fehler in der Funktion win32_stat enthalten, mit dem sich beliebiger Code auf den Stack eines Systems schreiben und ausführen lässt.
In den Perl-Implementierungen für Windows von ActiveState (ActivePerl) und Larry Wall ist ein Fehler in der Funktion win32_stat enthalten. Dadurch lässt sich beliebiger Code auf den Stack eines Systems schreiben und ausführen, berichtet der Sicherheitsdienstleister iDEFENSE. Ursache des Fehlers ist ein Buffer Overflow, der durch einen zu langen Dateinamen bei der Übergabe an die Funktion provoziert wird. win32_stat() dient zur Abfrage von Dateiinformationen und ist ein Wrapper auf die Funktion stat().
Ist die fehlerhafte Funktion in Skripten auf Webservern enthalten und die Übergabe von Benutzereingaben möglich, so kann ein Angreifer das System über das Netzwerk kompromittieren. Betroffen sind alle Versionen von Perl für Win32 bis einschließlich 5.8.3. Der Fehler soll in Version 5.8.4 behoben sein, die aber noch nicht zur Verfügung steht.
Siehe dazu auch: (dab)
- Security Advisory von iDEFENSE
