Vigil@nce - Perl : exécution de code via Opportunistic Loading
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut placer un module malveillant dans le répertoire
courant de programmes Perl chargeant des modules optionnels non
installés, afin d’exécuter du code avec les privilèges du
programme.
Produits concernés : Debian, Fedora, OpenBSD, openSUSE Leap.
Gravité : 2/4.
Date création : 25/07/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
L’interpréteur Perl peut charger les modules depuis les dossiers
indiqués dans la variable @INC.
Cependant, comme @INC contient le répertoire courant ("."), un
attaquant peut forcer le chargement d’un module malveillant
optionnel, qui ne serait pas installé sur le système.
Un attaquant peut donc placer un module malveillant dans le
répertoire courant de programmes Perl chargeant des modules
optionnels non installés, afin d’exécuter du code avec les
privilèges du programme.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Perl-execution-de-code-via-Opportunistic-Loading-20210