Stack-Overflow kann erzeugt werden
LSE entdeckt kritische Schwachstelle in der weit verbreiteten Programmiersprache "Perl"
Die LSE konnte die Schwachstelle zudem über die Extension XML::Parser triggern
Die LSE Leading Security Experts GmbH (LSE) hat eine Schwachstelle in "Perl" entdeckt. Die Schwachstelle mit der CVE-Nummer CVE-2014-4330 wurde von der LSE mit einem hohen Bedrohungspotenzial eingestuft. Sie betrifft die "Extension Data::Dumper", welche in Perl-Core enthalten ist. Durch Anlegen von großen Datenstrukturen kann ein Stack-Overflow erzeugt werden. Abhängig vom Kontext könnte dieser für Angriffe verwendet werden.
Die LSE konnte die Schwachstelle zudem über die Extension XML::Parser triggern. Sie verfügt über ein entsprechendes Proof-of-Concept, welches den entsprechenden Nachweis führt. Das bedeutet, dass die Lücke über entsprechend manipulierte XML-Dokumente ausgenutzt werden könnte. Das Perl-Team wurde vor Veröffentlichung dieser Sicherheitslücke informiert und hat inzwischen einen Patch bereitgestellt.
Betroffen sind die Versionen Perl v5.20.1 und niedriger.
Zur Schwachstelle ist ein Security Advisory der LSE unter https://www.lsexperts.de/security-advisory/items/schwachstelle-perl-core.html verfügbar. (LSE: ra)
LSE Leading Security Experts: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden