PT-2020-3690 · Perl+8 · Perl+8
Publicado
2020-06-01
·
Atualizado
2024-06-15
·
CVE-2020-10543
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Versões do Perl anteriores à 5.30.3
Descrição
O problema está relacionado a um estouro de buffer baseado em heap no Perl, devido a um estouro de inteiro causado por quantificadores de expressões regulares aninhados. Isso pode ser explorado se um aplicativo escrito em Perl avaliar expressões regulares fornecidas por um invasor, o que é uma prática perigosa conhecida, já que o mecanismo de expressões regulares não oferece proteção contra ataques de negação de serviço nesse cenário. O sistema alvo precisa de memória suficiente para alocar expansões parciais dos quantificadores aninhados antes que o estouro ocorra, uma condição improvável de ser atendida em sistemas de 64 bits.
Recomendações
Para versões anteriores à 5.30.3, atualize para a versão 5.30.3 ou posterior para resolver o problema. Como solução temporária, considere evitar a avaliação de expressões regulares fornecidas por invasores para minimizar o risco de exploração. Restringir a quantidade de memória disponível para expansões parciais de quantificadores aninhados também pode ajudar a mitigar o risco, embora isso possa não ser viável em todos os cenários.
Correção
Memory Corruption
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Centos
Ibm Aix
Linuxmint
Perl
Red Hat
Rocky Linux
Suse
Ubuntu