LSE entdeckt kritische Schwachstelle in Perl
Mit der vom Identity-Management-Experten festgestellten Lücke in der Spracherweiterung Data::Dumper soll sich durch Anlegen großer Datenstrukturen ein Stack Overflow erzeugen lassen.
- Alexander Neumann
Die LSE Leading Security Experts GmbH (LSE) aus dem südhessischen Weiterstadt weist auf eine Schwachstelle in der Skriptsprache Perl hin. Die Lücke betrifft die Erweiterung Data::Dumper, die im Kern der Sprache zu finden ist. Durch Anlegen von großen Datenstrukturen lässt sich damit wohl ein Stack Overflow erzeugen, der abhängig vom Kontext für Angriffe ausgenutzt werden könne.
LSE konnte die Schwachstelle zudem über das Modul XML::Parser triggern. Das Unternehmen hat einen Proof of Concept erarbeitet, der den entsprechenden Nachweis führt. Das bedeutet, dass sich die Lücke über manipulierte XML-Dokumente ausnutzen lässt. Das Perl-Entwickler-Team wurde vor Veröffentlichung der Sicherheitslücke informiert und hat inzwischen einen Patch bereitgestellt. Betroffen sind die Versionen Perl v5.20.1 und niedriger. Zur Schwachstelle ist ein Security Advisory von LSE verfügbar.
Die Lücke mit der CVE-Nummer CVE-2014-4330 wurde vom Identity-Management-Experten mit einem hohen Bedrohungspotenzial eingestuft. (ane)
