U radu programskog paketa Perl, odnosno DBD::Pg modula, uočena su dva sigurnosna propusta. Riječ je o popularnom programskom jeziku opće namjene. Spomenuti nedostaci javljaju se kao posljedica pogrešaka u funkcijama "pg_warn()" i "dbd_st_prepare()". Napadačima omogućuju pokretanje proizvoljnog koda. Svim se korisnicima savjetuje izbjegavanje povezivanja na nepouzdane poslužitelje.
Izvorni tekst preporuke
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2012-03-018
Naslov: Dvije ranjivosti programskog paketa Perl
Datum: 2012-03-15
OS: Windows, Linux, Mac OS, BSD, Solaris
Programski paket: Perl
Tip sigurnosnog problema: izvrsavanje proizvoljnog programskog koda
Rizik: Malen
_______________________________________________________________________________
[1] Uvod
Prilikom upotrebe programskog paketa Perl, odnosno njegovog dodatka DBD::Pg module, uocena
su dva sigurnosna nedostatka.
Perl je programski jezik opce namjene koji svoje korjene vuce iz drugih jezika kao sto su primjerice C, sed, awk i Unix. Odlikuje ga kvalitetan repozitorij gotovih programskih rjesenja sto mu je i glavna prednost u odnosu na konkurentne jezike.
DBD::Pg modul omogucuje pristup PostgreSQL bazama podataka.
Vise informacija dostupno je na sljedecim web adresama:
Perl:
http://www.perl.org/
DBD::Pg module:
http://search.cpan.org/dist/DBD-Pg/Pg.pm#NAME
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Ranjivosti uocene u radu programskog paketa Perl napadacima omogucuju pokretanje zlonamjernog programskog koda.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca izbjegavanje povezivanja na nepouzdane posluzitelje
baza podataka.
-------------------------------------------------------------------------------
[4] Analiza
* Prva od spomenutih ranjivosti posljedica je pogreske u funkciji "pg_warn()", odnosno u datoteci dbdimp.c, a nastaje prilikom rukovanja sa slanjem obavijesti.
* Druga nepravilnost posljedica je pogresne obrade podataka u funkciji
"dbd_st_prepare()", tj. u datoteci dbdimp.c, a nastaje prilikom pripreme DBD izjava.
Ranjivosti su potvrdjene u inacici 2.18.1. Starije inacice takodjer mogu sadrzavati
iste ranjivosti.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustima otkrilo je:
Dominic Hargreaves.
Tekstovi izvorne preporuke nalaze se na sljedecim adresama:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=661536 i
https://rt.cpan.org/Public/Bug/Display.html?id=75642
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke