CERT-FI haavoittuvuustiedote 152/2007

8.11.2007

Haavoittuvuuksia Perl-ohjelmointikielessä ja PCRE-kirjastossa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset - verkon aktiivilaitteet - sulautetut järjestelmät - muut	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

PCRE (Perl-Compatible Regular Expression) on yleisesti syötteen tulkitsemiseen käytetty kirjasto. Perl-ohjelmointikielen ja sen kanssa yhteensopivan PCRE-kirjaston regular expression -toteutuksista on löydetty haavoittuvuuksia, jotka voivat mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen kohdejärjestelmässä. Osa haavoittuvuuksista liittyy UTF-8 -merkkien tulkitsemiseen. Haavoittuvuuksista yksi (CVE-2007-5116) koskee Perl-ohjelmointikieltä ja seitsemän PCRE-kirjastoa.

Perl ja PCRE ovat molemmat laajalti käytettyjä ohjelmistoja, joiden haavoittuvuuksilla voi olla laaja vaikutusalue. PCRE-kirjastoa käytetään muun muassa useissa sähköposti- ja www-palvelinsovelluksissa sekä ohjelmointikielissä. Perl-ohjelmointikielellä on niin ikään toteutettu suuri joukko ohjelmistoja.

HAAVOITTUVAT OHJELMISTOT:

• PCRE-kirjasto ennen versiota 7.3
• Perl
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva kirjasto ja Perl-ohjelmointikieli. Perl-ohjelmointikielen osalta ongelma on korjattu myös kehitysversion 5.9.5 koodijakelussa. Monet Linux-jakelut ovat julkaisseet omat päivityksensä haavoittuvuuksiin.

LISÄTIETOA:

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5116
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1659
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1660
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1661
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1662
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4766
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4767
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4768

• http://rhn.redhat.com/errata/RHSA-2007-0967.html
• http://rhn.redhat.com/errata/RHSA-2007-0966.html
• http://rhn.redhat.com/errata/RHSA-2007-0968.html
• https://bugzilla.redhat.com/show_bug.cgi?id=323571
  
• http://www.debian.org/security/2007/dsa-1399
• http://www.debian.org/security/2007/dsa-1400
• http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:207
• http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0231
• http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0232
  

PÄIVITYSHISTORIA:

8.11.2007, kello 08.30: Julkaistu

8.11.2007, kello 10.20: Korjattu kirjoitusvirhe ja täsmennetty haavoittuvuuksien kohteita

Sivua päivitetty 05.08.2008

Tulostusversio