Vigil@nce - Perl : déni de service via Email-Address
juillet 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer une adresse email spéciale vers un
programme utilisant le module Email::Address de Perl, afin de
mener un déni de service.
– Produits concernés : Debian, Unix (plateforme)
– Gravité : 2/4
– Date création : 18/06/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Perl Email::Address analyse les adresses emails.
Un email peut par exemple utiliser l’entête suivant :
To : "Jean Dupont"
Cependant, si le texte entre guillemets est vide, la méthode
parse() de Email::Address consomme trop de ressources.
Un attaquant peut donc envoyer une adresse email spéciale vers un
programme utilisant le module Email::Address de Perl, afin de
mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-deni-de-service-via-Email-Address-14910