Allgemeines

Sicherheitslücke in Digest

07.11.2011 von Renée Bäcker | 0 Kommentare | Artikel kommentieren | Diese Neuigkeit als PDF Diese Neuigkeit als Druckversion

Im Modul Digest gibt es bis einschließlich Version 1.16 eine Sicherheitslücke, mit der Angreifer Schadcode ausführen können.

Die Methode "new" des Moduls filtert die Eingaben nicht richtig, bevor sie einem String-eval übergeben werden. In diesem String-eval werden Module geladen.

Eine ausführliche Beschreibung der "'use' in String-eval"-Problematik ist im Blog von Michael G. Schwern nachzulesen.


Webseite: https://bugzilla.redhat.com/show_bug.cgi?id=743010
Tags: Digest,Sicherheitslücke,
Durchschnittliche Bewertung: 0 | Anzahl Bewertungen: 0 |