Perl Locale::Maketext Module '_compile()'多个代码注入漏洞

文章由LinuxBoy分享于2019-04-02 05:04:22热评（73）

Perl Locale::Maketext Module '_compile()'多个代码注入漏洞

发布日期：2012-12-07
更新日期：2012-12-11

受影响系统：
Perl Locale::Maketext 1.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56852

Locale::Maketext模块是软件本地化的框架。

Locale::Maketext 1.23及其他版本Locale::Maketext模块在实现上存在安全漏洞，"_compile()"函数没有正确过滤输入，可被利用注入和执行任意Perl代码。

此漏洞源于maketext字符串的错误解析。maketext一般是将括号编译成函数，但忽略了内容里的反斜杠，或在生成代码时对完全限定的方法名称无法正常解析。

<*来源：Brian Carlson （rjbs@cpan.org）

链接：http://secunia.com/advisories/51498/
http://www.securelist.com/en/advisories/51498
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=695224
http://perl5.git.perl.org/perl.git/commit/1735f6f53ca19f99c6e9e39496c486af323ba6a8
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Perl
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://perl5.git.perl.org/perl.git/commit/1735f6f53ca19f99c6e9e39496c486af323ba6a8

推荐文章：

Perl Locale::Maketext Module '_compile()'多个代码注入漏洞