Perl Digest模块’Digest->new()’代码注入漏洞

影响系统
Perl.org Perl 5.12
Perl.org Perl 5.10.1
Perl.org Perl 5.10
Perl.org Perl 5.14.2
Perl.org Perl 5.14.2
Perl.org Perl 5.14.1
Perl.org Digest 1.16

不受影响系统
Perl.org Digest 1.17

危害
远程攻击者可以利用漏洞以应用程序上下文执行任意Perl代码。

攻击所需条件
攻击者必须访问使用perl digest模块的应用程序。

漏洞信息
Perl是一种高级、通用、直译式、动态的程序语言。
用于Perl的Digest模块存在安全漏洞,恶意攻击者可以利用此漏洞以使用此模块的应用程序上下文执行任意代码。
“Digest->new()”函数没有正确过滤输入就直接把其用于”eval()”调用,可被利用注入和执行任意perl代码。

测试方法

厂商解决方案
Perl.org Digest 1.17已经修复此漏洞,建议用户下载使用:
http://cpansearch.perl.org/src/GAAS/Digest-1.17/Changes

漏洞提供者
Perl

发表评论?

0 条评论。

发表评论