[Sicherheit] Schwachstelle im Modul Data::FormValidator (Fragen zu Perl-Modulen) - Perl-Community.de

Start · Board · Anwendungen/Programme/Skripte in Perl · Fragen zu Perl-Modulen

2024-11-28 02:28:01
Europe/Berlin
Einloggen (Registrieren)
- Einstellungen
- Statistics
Jemand zu Hause?
0 Benutzer online
1 Gast

[thread]16704[/thread]

submit to reddit

[Sicherheit] Schwachstelle im Modul Data::FormValidator

Tags: perl5 Sicherheit Schwachstellen Data::FormValidator Ähnliche Threads

Leser: 16

Articles: hide open all | hide show old branches

+2 replies
Dubu

2011-09-07 17:30

User since
2003-08-04
2145 Artikel
ModeratorIn + EditorIn

CVE-2011-2201 - Schwachstelle im Modul Data::FormValidator

Das Modul Data::FormValidator enthaelt eine Schwachstelle, die dazu fuehrt dass unter Umstaenden Formularfelder faelschlicherweise als gueltig deklariert werden. Grund hierfuer ist ein Fehler bei der Auswertung der 'untaint_all_constraints'-Direktive. Ein Angreifer dem es gelingt, diese Schwachstelle auszunutzen, kann auf diese Weise den Perl Taint-Mode Mechanismus umgehen und beliebige, normalerweise gefilterte Daten in ein HTML-Formular eintragen.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken gestattet.

PS: Betroffen sind wahrscheinlich die Versionen 4.61 bis 4.66 von Data::FormValidator.
- GwenDragon
  
  2011-09-07 17:59
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Danke.
  Wird Zeit, dass Mark Stosberg das schnell fixed und nach CPAN hoch lädt.
  Ist schon mit PoC seit 06-2011 bekannt!
  Näheres zum Bug siehe https://bugzilla.redhat.com/show_bug.cgi?id=712694
  Last edited: 2011-09-07 18:05:43 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2011-09-07 17:30.