漏洞起因
输入验证错误
危险等级
低
影响系统
CPAN YAML-LibYAML 0.38
CPAN YAML-LibYAML 0.33-1
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码或使应用程序崩溃。
攻击所需条件
攻击者必须访问链接LibYAML模块的应用程序。
漏洞信息
LibYAML是一个C语言的包,用来解析YAML 1.1数据。
用于Perl的YAML::LibYAML模块存在安全漏洞,允许恶意用户使使用此模块的应用程序崩溃。
漏洞是由于当解析YAML文档时”Load()”, “load_node()”, “load_mapping()”和”load_sequence()”函数(LibYAML/perl_libyaml.c)存在格式串错误,成功利用漏洞可以以应用程序上下文执行任意代码。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://rt.cpan.org/Public/Bug/Display.html?id=46507
漏洞提供者
Dominic Hargreaves
评论关闭。