Vigil@nce - Perl : attaque par format via DBD-Pg
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un serveur PostgreSQL illicite peut provoquer une attaque par
format dans ses clients utilisant le module Perl DBD-Pg.
Gravité : 1/4
Date création : 09/03/2012
PRODUITS CONCERNÉS
– Debian Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le module DBD-Pg permet aux applications Perl d’accéder aux
données situées sur un serveur PostgreSQL.
La fonction pg_warn() génère un message d’avertissement à partir
des données retournées le serveur. Cependant, elle appelle la
fonction warn() sans utiliser de paramètre de formatage. [grav:1/4]
La fonction dbd_st_prepare() prépare une requête à partir des
données retournées le serveur. Cependant, elle appelle la fonction
croak() sans utiliser de paramètre de formatage. [grav:1/4]
Un serveur PostgreSQL illicite peut donc provoquer une attaque par
format dans ses clients utilisant le module Perl DBD-Pg.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-attaque-par-format-via-DBD-Pg-11414