Schwachstellen in Perl und Regular-Expressions-Bibliothek
Die Regular Expression Engine von Perl weist eine Schwachstelle auf, die zum Absturz einer damit geschriebenen Anwendung oder sogar zum Einschleusen von Code führen kann. Zudem wurden Lücken in der Perl-Compatible-Regular-Expressions-Bibliothek gefunden.
- Daniel Bachfeld
Die Regular Expression Engine der Skriptsprache Perl weist eine Schwachstelle auf, die zum Absturz einer damit geschriebenen Anwendung oder sogar zum Einschleusen von Code führen kann. Ursache des Problems soll ein Fehler bei der Allokation von Speicher während der Auswertung eines Ausdrucks sein. Der etwa über einen Webserver eingeschleuste Code läuft dann im Kontext des Webservers. Nähere Einzelheiten sind zu dem Problem nicht bekannt. Betroffen sind die aktuelle Version 5.8.8 und vorherige Versionen. Die Linux-Distributoren geben bereits fehlerbereinigte Pakete heraus, ein offizielles Perl-Update ist indes noch nicht verfügbar.
Darüber hinaus hat Tavis Ormandy vom Google Security Team mehrere Lücken in der Perl-Compatible-Regular-Expressions-Bibliothek (PCRE) gefunden, mit der Angreifer eine darauf zurückgreifende Anwendung zum Absturz bringen können. Da einige der Probleme auf Heap Overflows zurückzuführen sind, soll es nach Angaben von Debian möglich sein, Schadcode auf einem verwundbaren System auszuführen. Unter anderem nutzen Open-Source-Projekte wie Apache, PHP, Postfix, KDE und Exim die Bibliothek. Betroffen sind die Versionen 6.x und 7.x, in der offiziellen Version 7.4 sind die Fehler behoben. Debian hat neue Pakete bereitgestellt.
Siehe dazu auch:
- perl security update, Fehlerbericht von Red Hat
- Updated perl packages fix vulnerability, Fehlerbericht von Mandrake
- pcre3 -- several vulnerabilities, Fehlerbericht von Debian
(dab)
