CVE-2010-4411 - Schwachstelle im CGI Perl Modul (CGI.pm)

Die Schwachstelle in CVE-2010-2761 ist nur unvollstaendig geschlossen
worden. Die Konsequenzen und Auswirkungen entsprechen denen in
CVE-2010-2761.

CVE-2010-2761 - Schwachstelle im CGI Perl Modul (CGI.pm)

Im CGI Perl Modul (CGI.pm), das zum Beispiel von Bugzilla genutzt wird,
werden Zeichenketten zum Trennen von MIME-Inhalten
(multipart/x-mixed-replace) in einer unsicheren Weise verwendet. Dies
laesst sich zum Einschleusen von HTML-Headern ausnutzen, wodurch "HTTP
Response Splitting"-Angriffe durchgefuehrt werden koennen. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen, um an
vertrauliche Informationen zu gelangen und schlimmstenfalls beliebige
HTML- und Skriptbefehle mit den Rechten des Anwenders zur Ausfuehrung zu
bringen.


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Anmerkung: CVE-2010-2761 betrifft auch Simple.pm aus CGI::Simple bis einschließlich Version 1.112 - Dubu.