Vulnérabilités dans Perl
Date de publication :
De multiples vulnérabilités ont été découvertes dans l’implémentation du langage Perl. Un attaquant distant exploitant ces vulnérabilités peut effectuer un déni de service ainsi qu’exécuter du code arbitraire.
CVE-2020-10878 [Score CVSS v3 : 8.6] : Une vulnérabilité de type injection d’instruction a été découverte dans Perl. Un attaquant distant exploitant cette vulnérabilité peut exécuter du code arbitraire via l’utilisation d’une expression régulière spécialement conçue.
CVE-2020-10543 [Score CVSS v3 : 8.2] : Une vulnérabilité de type dépassement de tampon a été découverte dans Perl. Un attaquant distant exploitant cette vulnérabilité peut causer un impact non-spécifié via un dépassement d’entier dans la gestion des expressions régulières internes pour les plateformes 32 bits. Le déni de service et l’exécution de code arbitraire sont des impacts typiques de ce type de vulnérabilité.
CVE-2020-12723 [Score CVSS v3 : 7.5] : Une vulnérabilité de type dépassement de tampon a été découverte dans Perl. Un attaquant distant exploitant cette vulnérabilité peut causer un impact non-spécifié via une expression régulière spécialement conçue. Le déni de service et l’exécution de code arbitraire sont des impacts typiques de ce type de vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.6 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Perl avant la version 5.30.3 (uniquement sur plateforme 32 bits pour CVE-2020-10543)
CVE
- CVE-2020-10543
- CVE-2020-10878
- CVE-2020-12723
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Perl vers la version 50.30.3 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible