Vulnerabilidad en módulo Safe de Perl (CVE-2010-1168)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
21/06/2010
Última modificación:
19/09/2017
Descripción
El módulo Safe (Safe.pm) en versiones anteriores a la v2.25 de Perl permite a atacantes, dependiendo del contexto, evitar las restricciones de acceso previstas (1) Safe::reval y (2) Safe::rdo, e inyectar y ejecutar código de su elección, a través de vectores de ataque que involucran métodos llamados implícitamente y objetos implícitamente "blessed", como se ha demostrado por los métodos (a) DESTROY y (b) AUTOLOAD. Relacionado con los "automagic methods".
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:rafael_garcia-suarez:safe:2.08:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.09:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.11:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.13:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.14:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.15:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.16:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.17:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.18:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.19:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.20:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.21:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.22:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.23:*:*:*:*:*:*:* | ||
cpe:2.3:a:rafael_garcia-suarez:safe:2.24:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blogs.perl.org/users/rafael_garcia-suarez/2010/03/new-safepm-fixes-security-hole.html
- http://blogs.sun.com/security/entry/cve_2010_1168_vulnerability_in
- http://cpansearch.perl.org/src/RGARCIA/Safe-2.27/Changes
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10735
- http://secunia.com/advisories/40049
- http://secunia.com/advisories/40052
- http://secunia.com/advisories/42402
- http://securitytracker.com/id?1024062=
- http://www.mandriva.com/security/advisories?name=MDVSA-2010%3A115
- http://www.mandriva.com/security/advisories?name=MDVSA-2010%3A116
- http://www.openwall.com/lists/oss-security/2010/05/20/5
- http://www.redhat.com/support/errata/RHSA-2010-0457.html
- http://www.redhat.com/support/errata/RHSA-2010-0458.html
- http://www.vupen.com/english/advisories/2010/3075
- https://bugzilla.redhat.com/show_bug.cgi?id=576508
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7424
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9807