【セキュリティ ニュース】「Perl」に域外メモリへ書き込む脆弱性 - アップデートにて修正(1ページ目 / 全1ページ):Security NEXT
「Perl」に脆弱性が明らかとなった。アップデートにて修正されている。 「同5.30.0」以降において、プロパティ名の処理に問題があり、未割り当てのメモリ領域に書き込むおそれがある脆弱性「CVE-2023-47100」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を「クリティカル(Critical)」とレーティングしている。 ソースリポジトリにおいてパッチが提供されているほか、現地時間11月29日にリリースされた「同5.38.2」にて修正されている。 (Security NEXT - 2023/12/15 ) ツイート
5分でわかる Perl and web security
yapcjapan2016_lt.md 5分でわかる Perl and web security ma.la CSRFとかXSSとか CSRF: フレームワークの機能使って下さい XSS: Xslateとか自動エスケープして下さい、jsの動的生成はするな 終わり 本題 YAPCなのでPerl固有の問題について解説します。 Webアプリケーションの一般的な流れ パラメータ受け取る(フォームとかJSONとか) 何らかの処理をする レスポンスを返す(HTMLとかJSONとか) フォームやJSONを安全に受け取るには paramはscalarで受け取りましょう Why $params = { name => $r->param("name"), value => $r->param("value"), } これをやると ?name=hoge&name=fuga で壊せる。 list context
Hardening Perl’s Hash Function
In 2003 the Perl development community was made aware of an algorithmic complexity attack on the Perl’s hash table implementation[1]. This attack was similar to reports over the last few years of attacks on other languages and packages, such as the Java, Ruby and Python hash implementations. Written by Yves Orton The basic idea of this attack is to precompute a set of keys which would hash to the
Perl5 の CVE-2013-1667 - Important rehashing flaw についての見解 - tokuhirom's blog
あまり触れる気もなかったのですが、日本語でふれている人がいなかったので。 Perl 5.8 〜 5.16 で DoS の security fix がでています。OS の system perl をつかっている場合には問題がありませんが、そうでない場合には自分できっちりとアップデートをおこなった方がいいです。 Hash の rehashing flaw に関するコアの問題ですが、ウェブアプリケーションを外部から攻撃可能な場合があります。また、このケースは、ミドルウェアなどでの防御は困難そうです。 セキュリティフィックスのあたった、Perl 5.16.3 または 5.14.4 にアップグレードしてください。 それより以前の Perl に関してはこの問題を fix する patch が maint-5.8 などのブランチにコミットされているパッチを適用してください。 この問題についての ful
Debian -- Security Information -- DSA-2431-1 libdbd-pg-perl
Debian Security Advisory DSA-2431-1 libdbd-pg-perl -- format string vulnerabilities Date Reported: 11 Mar 2012 Affected Packages: libdbd-pg-perl Vulnerable: Yes Security database references: In the Debian bugtracking system: Bug 661536. In Mitre's CVE dictionary: CVE-2012-1151. More information: Niko Tyni discovered two format string vulnerabilities in DBD::Pg, a Perl DBI driver for the PostgreSQL
JVN#51216285: DBD::mysqlPP における SQL インジェクションの脆弱性
DBD::mysqlPP は、MySQL のクライアントインターフェースを提供する Perl モジュールです。DBD::mysqlPP には、SQLインジェクションの脆弱性が存在します。 DBD::mysqlPP を使用しない 開発者によると、「DBD::mysqlPP は、ジョークプログラムとして作成されたものであり、プライベートな利用や MySQL 通信プロトコルの読解を助ける用途にのみ利用し、それ以外の用途においては同一の API を持つライブラリである DBD::mysql 最新版の使用を推奨する」とのことです。 DBD::mysql については、以下のページをご参照ください。 DBD::mysql http://search.cpan.org/dist/DBD-mysql/
CGI.pm / CGI::Simple に CRLF インジェクション脆弱性など、一部未修正 (NIST, 2010.12.06) - セキュリティホール memo
》 2011年へカウントダウン! (エフセキュアブログ, 12/31)。 あと 90 秒。 》 Pro-WikiLeaks hackers attack Zimbabwe government websites (Sophos, 12/31) 》 Don’t Confuse ‘Anonymous’ With a Russian Gang (McAfee, 12/30)。WikiLeaks 方面に乗じて Russian Gang が妙なことをやっている、ということなんですかね。 》 Android malware enters 2011 (SANS ISC, 12/31) 》 KCCSの「クラウド利用者必見!新春 情報セキュリティソリューションセミナー」で講演します (ockeghem(徳丸浩)の日記, 12/28)。2011.01.28、東京都港区、無料。 》 直球で硬いニュースも熱を込め
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
