Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à ouvrir un fichier YAML
illicite, avec une application Perl utilisant le module
YAML-LibYAML, afin de provoquer une attaque par format, qui
conduit à un déni de service ou éventuellement à l’exécution de
code.

Gravité : 2/4

Date création : 09/03/2012

PRODUITS CONCERNÉS

– Debian Linux
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Perl YAML-LibYAML permet de lire des fichiers de données
au format YAML (YAML Ain’t Markup Language).

Lorsque le fichier YAML contient des erreurs, le module génère des
messages en appelant les fonctions croak() et loader_error_msg().
Cependant ces fonctions sont appelées sans paramètre de formatage.

Un attaquant peut donc inviter la victime à ouvrir un fichier YAML
illicite, avec une application Perl utilisant le module
YAML-LibYAML, afin de provoquer une attaque par format, qui
conduit à un déni de service ou éventuellement à l’exécution de
code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Perl-attaque-par-format-via-YAML-LibYAML-11415