Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3873-1 perl

Bulletin d'alerte Debian

DSA-3873-1 perl -- Mise à jour de sécurité

Date du rapport :

5 juin 2017

Paquets concernés :

perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 863870.
Dans le dictionnaire CVE du Mitre : CVE-2017-6512.

Plus de précisions :

L'équipe cPanel Security Team a signalé un défaut de situation de compétition de type time of check to time of use (TOCTTOU – écart temporel entre vérification et utilisation) dans File::Path, un module essentiel de Perl pour la création ou la suppression d'arborescences de répertoire. Un attaquant peut tirer avantage de ce défaut pour régler les droits d'un fichier choisi par l'attaquant à une valeur choisie par l'attaquant.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.20.2-3+deb8u7.

Pour la prochaine distribution stable (Stretch), ce problème a été corrigé dans la version 5.24.1-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.24.1-3.

Nous vous recommandons de mettre à jour vos paquets perl.