Vigil@nce - Perl : déni de service via Data-Dumper
septembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un attaquant peut fournir une structure de données complexe
à Perl Data::Dumper(), il peut alors mener un déni de service.
Produits concernés : Unix (plateforme)
Gravité : 1/4
Date création : 25/09/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La fonction Perl Data::Dumper() permet de sérialiser des données.
Un tableau Perl peut être composé d’une référence à un
sous-tableau, et ce de nombreuses fois. Cependant, la fonction
DD_dump() effectue un appel récursif pour traiter ce cas, ce qui
conduit au remplissage de la pile, et à l’arrêt de l’application.
Lorsqu’un attaquant peut fournir une structure de données complexe
à Perl Data::Dumper(), il peut alors mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-deni-de-service-via-Data-Dumper-15412