PT-2020-3691 · Perl+9 · Perl+9

Publicado

2020-06-01

·

Atualizado

2026-03-10

·

CVE-2020-10878

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:C
Nome do software vulnerável e versões afetadas
Versões do Perl anteriores à 5.30.3
Descrição
O problema está relacionado a um estouro de inteiro no Perl, especificamente ao lidar com uma situação em que “PL regkind[OP(n)] == NOTHING”. Isso pode ser desencadeado por uma expressão regular maliciosamente criada, levando potencialmente a um bytecode malformado e à possibilidade de injeção de instruções. Um aplicativo escrito em Perl só é vulnerável se avaliar expressões regulares fornecidas por um invasor. É sabido que avaliar expressões regulares dessa maneira é perigoso, pois o mecanismo de expressões regulares não oferece proteção contra ataques de negação de serviço nesse cenário.
Recomendações
Para versões do Perl anteriores à 5.30.3, atualize para a versão 5.30.3 ou posterior para resolver o problema. Como solução temporária, considere evitar a avaliação de expressões regulares fornecidas por invasores ou restrinja o uso do mecanismo de expressões regulares vulnerável para minimizar o risco de exploração.

Correção

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190

Identificadores relacionados

ALT-PU-2020-2905
ALT-PU-2020-3343
ALT-PU-2020-3414
BDU:2020-04040
CESA-2021_0343
CESA-2021_1678
CVE-2020-10878
MGASA-2020-0255
OPENSUSE-SU-2020:0850-1
OPENSUSE-SU-2020_0850-1
OPENSUSE-SU-2024:11158-1
RHSA-2021:0343
RHSA-2021:0883
RHSA-2021:1032
RHSA-2021:1266
RHSA-2021:1678
RHSA-2021:2792
RHSA-2021_0343
RHSA-2021_1678
RHSA-2026:7604
RLSA-2021:1678
SUSE-SU-2020:1662-1
SUSE-SU-2020:1682-1
SUSE-SU-2020:1682-2
SUSE-SU-2020_1662-1
USN-4602-1
USN-4602-2

Produtos afetados

Alt Linux
Centos
Ibm Aix
Linuxmint
Perl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu