Vigil@nce - Perl : déni de service via les paramètres de fonctions
mai 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, qui est autorisé à injecter des paramètres dans des
applications Perl, peut créer un déni de service.
Gravité : 1/4
Date création : 10/05/2011
Date révision : 11/05/2011
PRODUITS CONCERNÉS
– Microsoft Windows - plateforme
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
L’environnement Perl implémente les fonctions suivantes :
– getpeername(), getsockname() : utilisateur d’une socket
– readdir(), closedir(), readdir(), rewinddir(), tell() et
telldir() : manipulation de répertoire
Cependant, si un paramètre supplémentaire est passé à ces
fonctions, elles cherchent à lire à une adresse mémoire invalide.
On peut noter que le vecteur d’attaque est relativement peu
courant. De plus, si un attaquant peut modifier le code Perl, il
peut directement y injecter du code à exécuter.
Un attaquant, qui est autorisé à injecter des paramètres dans des
applications Perl, peut donc créer un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-deni-de-service-via-les-parametres-de-fonctions-10638