Menü
Alert!

Sicherheitslücke in Perl für Windows

vorlesen Drucken Kommentare lesen 49 Beiträge

In den Perl-Implementierungen für Windows von ActiveState (ActivePerl) und Larry Wall ist ein Fehler in der Funktion win32_stat enthalten. Dadurch lässt sich beliebiger Code auf den Stack eines Systems schreiben und ausführen, berichtet der Sicherheitsdienstleister iDEFENSE. Ursache des Fehlers ist ein Buffer Overflow, der durch einen zu langen Dateinamen bei der Übergabe an die Funktion provoziert wird. win32_stat() dient zur Abfrage von Dateiinformationen und ist ein Wrapper auf die Funktion stat().

Ist die fehlerhafte Funktion in Skripten auf Webservern enthalten und die Übergabe von Benutzereingaben möglich, so kann ein Angreifer das System über das Netzwerk kompromittieren. Betroffen sind alle Versionen von Perl für Win32 bis einschließlich 5.8.3. Der Fehler soll in Version 5.8.4 behoben sein, die aber noch nicht zur Verfügung steht.

Siehe dazu auch: (dab)