製品・ソフトウェアに関する情報

JVN脆弱性詳細

Perl の lc、lcfirst、uc および ucfirst 関数における汚染 (Taint) 保護メカニズムを回避される脆弱性

タイトル	Perl の lc、lcfirst、uc および ucfirst 関数における汚染 (Taint) 保護メカニズムを回避される脆弱性
概要	Perl の lc、lcfirst、uc および ucfirst 関数は、汚染された入力の戻り値を Taint 属性として適用させないため、Taint 保護メカニズムを回避される脆弱性が存在します。
想定される影響	第三者により、巧妙に細工された文字列を介して、Taint 保護メカニズムを回避される可能性があります。
対策	ベンダ情報及び参考情報を参照して適切な対策を実施してください。
公表日	2011年3月1日0:00
登録日	2011年5月18日18:35
最終更新日	2011年5月26日9:55

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:P/A:N

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux Desktop 6

Red Hat Enterprise Linux HPC Node 6

Red Hat Enterprise Linux Server 6

Red Hat Enterprise Linux Workstation 6

The Perl Foundation

Perl 5.10.x

Perl 5.11.x

Perl 5.12.x から 5.12.3

Perl 5.13.x から 5.13.11

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1487	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1487
National Vulnerability Database (NVD)
2	CVE-2011-1487	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1487

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Red Hat Security Advisory
1	RHSA-2011:0558	https://rhn.redhat.com/errata/RHSA-2011-0558.html
The Perl Foundation
2	87336	http://rt.perl.org/rt3/Public/Bug/Display.html?id=87336
3	Top Page	http://www.perl.org

その他

No	名前	URL
ISS X-Force Database
1	66528	http://xforce.iss.net/xforce/xfdb/66528
Secunia Advisory
2	SA43921	http://secunia.com/advisories/43921
SecurityFocus
3	47124	http://www.securityfocus.com/bid/47124

変更履歴

No	変更内容	変更日
0	[2011年05月18日] 掲載 [2011年05月26日] 影響を受けるシステム：レッドハット (RHSA-2011:0558) の情報を更新ベンダ情報：The Perl Foundation (87336) を追加ベンダ情報：レッドハット (RHSA-2011:0558) を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-1487

概要	The (1) lc, (2) lcfirst, (3) uc, and (4) ucfirst functions in Perl 5.10.x, 5.11.x, and 5.12.x through 5.12.3, and 5.13.x through 5.13.11, do not apply the taint attribute to the return value upon processing tainted input, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.
公表日	2011年4月12日3:55
登録日	2021年1月28日16:38
最終更新日	2024年11月21日10:26

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.10.0:rc2::::::
cpe:2.3:a:perl:perl:5.10.1:::::::*
cpe:2.3:a:perl:perl:5.10.1:rc1::::::
cpe:2.3:a:perl:perl:5.10.0:::::::*
cpe:2.3:a:perl:perl:5.10.0:rc1::::::
cpe:2.3:a:perl:perl:5.10.1:rc2::::::

構成2	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.13.10:::::::*
cpe:2.3:a:perl:perl:5.13.8:::::::*
cpe:2.3:a:perl:perl:5.13.0:::::::*
cpe:2.3:a:perl:perl:5.13.5:::::::*
cpe:2.3:a:perl:perl:5.13.3:::::::*
cpe:2.3:a:perl:perl:5.13.6:::::::*
cpe:2.3:a:perl:perl:5.13.11:::::::*
cpe:2.3:a:perl:perl:5.13.7:::::::*
cpe:2.3:a:perl:perl:5.13.1:::::::*
cpe:2.3:a:perl:perl:5.13.4:::::::*
cpe:2.3:a:perl:perl:5.13.9:::::::*
cpe:2.3:a:perl:perl:5.13.2:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.11.2:::::::*
cpe:2.3:a:perl:perl:5.11.1:::::::*
cpe:2.3:a:perl:perl:5.11.5:::::::*
cpe:2.3:a:perl:perl:5.11.0:::::::*
cpe:2.3:a:perl:perl:5.11.3:::::::*
cpe:2.3:a:perl:perl:5.11.4:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.12.0:rc1::::::
cpe:2.3:a:perl:perl:5.12.0:rc4::::::
cpe:2.3:a:perl:perl:5.12.0:rc3::::::
cpe:2.3:a:perl:perl:5.12.1:rc1::::::
cpe:2.3:a:perl:perl:5.12.3:rc3::::::
cpe:2.3:a:perl:perl:5.12.3:::::::*
cpe:2.3:a:perl:perl:5.12.1:rc2::::::
cpe:2.3:a:perl:perl:5.12.0:rc2::::::
cpe:2.3:a:perl:perl:5.12.0:::::::*
cpe:2.3:a:perl:perl:5.12.3:rc1::::::
cpe:2.3:a:perl:perl:5.12.2:::::::*
cpe:2.3:a:perl:perl:5.12.3:rc2::::::
cpe:2.3:a:perl:perl:5.12.2:rc1::::::
cpe:2.3:a:perl:perl:5.12.0:rc0::::::
cpe:2.3:a:perl:perl:5.12.0:rc5::::::
cpe:2.3:a:perl:perl:5.12.1:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057891.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057971.html
3	http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
4	http://openwall.com/lists/oss-security/2011/04/01/3	Exploit Patch
5	http://openwall.com/lists/oss-security/2011/04/04/35	Exploit Patch
6	http://perl5.git.perl.org/perl.git/commit/539689e74a3bcb04d29e4cd9396de91a81045b99	Patch
7	http://rt.perl.org/rt3/Public/Bug/Display.html?id=87336	Exploit
8	http://secunia.com/advisories/43921	Vendor Advisory
9	http://secunia.com/advisories/44168
10	http://www.debian.org/security/2011/dsa-2265
11	http://www.mandriva.com/security/advisories?name=MDVSA-2011:091
12	http://www.securityfocus.com/bid/47124	Exploit
13	https://bugzilla.redhat.com/show_bug.cgi?id=692844
14	https://bugzilla.redhat.com/show_bug.cgi?id=692898	Exploit Patch
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/66528
16	http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057891.html
17	https://exchange.xforce.ibmcloud.com/vulnerabilities/66528
18	https://bugzilla.redhat.com/show_bug.cgi?id=692898	Exploit Patch
19	https://bugzilla.redhat.com/show_bug.cgi?id=692844
20	http://www.securityfocus.com/bid/47124	Exploit
21	http://www.mandriva.com/security/advisories?name=MDVSA-2011:091
22	http://www.debian.org/security/2011/dsa-2265
23	http://secunia.com/advisories/44168
24	http://secunia.com/advisories/43921	Vendor Advisory
25	http://rt.perl.org/rt3/Public/Bug/Display.html?id=87336	Exploit
26	http://perl5.git.perl.org/perl.git/commit/539689e74a3bcb04d29e4cd9396de91a81045b99	Patch
27	http://openwall.com/lists/oss-security/2011/04/04/35	Exploit Patch
28	http://openwall.com/lists/oss-security/2011/04/01/3	Exploit Patch
29	http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
30	http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057971.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

構成1	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.10.0:rc2::::::
cpe:2.3:a:perl:perl:5.10.1:::::::*
cpe:2.3:a:perl:perl:5.10.1:rc1::::::
cpe:2.3:a:perl:perl:5.10.0:::::::*
cpe:2.3:a:perl:perl:5.10.0:rc1::::::
cpe:2.3:a:perl:perl:5.10.1:rc2::::::

構成2	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.13.10:::::::*
cpe:2.3:a:perl:perl:5.13.8:::::::*
cpe:2.3:a:perl:perl:5.13.0:::::::*
cpe:2.3:a:perl:perl:5.13.5:::::::*
cpe:2.3:a:perl:perl:5.13.3:::::::*
cpe:2.3:a:perl:perl:5.13.6:::::::*
cpe:2.3:a:perl:perl:5.13.11:::::::*
cpe:2.3:a:perl:perl:5.13.7:::::::*
cpe:2.3:a:perl:perl:5.13.1:::::::*
cpe:2.3:a:perl:perl:5.13.4:::::::*
cpe:2.3:a:perl:perl:5.13.9:::::::*
cpe:2.3:a:perl:perl:5.13.2:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.11.2:::::::*
cpe:2.3:a:perl:perl:5.11.1:::::::*
cpe:2.3:a:perl:perl:5.11.5:::::::*
cpe:2.3:a:perl:perl:5.11.0:::::::*
cpe:2.3:a:perl:perl:5.11.3:::::::*
cpe:2.3:a:perl:perl:5.11.4:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:perl:perl:5.12.0:rc1::::::
cpe:2.3:a:perl:perl:5.12.0:rc4::::::
cpe:2.3:a:perl:perl:5.12.0:rc3::::::
cpe:2.3:a:perl:perl:5.12.1:rc1::::::
cpe:2.3:a:perl:perl:5.12.3:rc3::::::
cpe:2.3:a:perl:perl:5.12.3:::::::*
cpe:2.3:a:perl:perl:5.12.1:rc2::::::
cpe:2.3:a:perl:perl:5.12.0:rc2::::::
cpe:2.3:a:perl:perl:5.12.0:::::::*
cpe:2.3:a:perl:perl:5.12.3:rc1::::::
cpe:2.3:a:perl:perl:5.12.2:::::::*
cpe:2.3:a:perl:perl:5.12.3:rc2::::::
cpe:2.3:a:perl:perl:5.12.2:rc1::::::
cpe:2.3:a:perl:perl:5.12.0:rc0::::::
cpe:2.3:a:perl:perl:5.12.0:rc5::::::
cpe:2.3:a:perl:perl:5.12.1:::::::*