Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Perl CGI : deux vulnérabilités

décembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut combiner deux vulnérabilités de Perl CGI ou CGI ::Simple, afin d’injecter des données dans un script.

Gravité : 2/4

Date création : 02/12/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Les modules Perl CGI et CGI ::Simple proposent des fonctionnalités pour les scripts des serveurs web. Ils sont impactés par deux vulnérabilités.

La fonction multipart_init() génère des séparateurs MIME constants ("--------- =_aaaaaaaaaa0") pour le type "multipart/x-mixed-replace". Un attaquant n’a donc pas besoin de les deviner. [grav:1/4 ; BID-45144]

Un attaquant peut injecter des sauts de ligne dans les entêtes HTTP. En injectant un faux entête "multipart/x-mixed-replace", les données de l’attaquant sont interprétées comme un bloc valide. [grav:2/4 ; BID-45145, CVE-2010-2761, CVE-2010-3172, CVE-2010-4410, CVE-2010-4411]

Un attaquant peut donc combiner deux vulnérabilités de Perl CGI ou CGI ::Simple, afin d’injecter des données dans un script.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/P...




Voir les articles précédents

    

Voir les articles suivants