Thread [Sicherheit] Mehrere Schwachstellen im Modul Mojolicious (0 answers)
Opened by Dubu at 2011-05-25 23:42

Dubu
 2011-05-25 23:42
#149178 #149178
User since
2003-08-04
2145 articles
ModeratorIn + EditorIn

user image
(Hier kommen das erste Mal Sicherheitshinweise für ein Perl-Modul. Verlinkt ist jeweils die engl. Originalquelle der CVEs, der Text ist aus dem Hinweis des DFN CERT, wie auch unten vermerkt. Viel Erfolg beim Update. Da (noch) kein eigenes Forum existiert, landet dieser Beitrag bei den "Fragen zu Perl-Modulen", auch wenn es sich eigentlich nicht um eine Frage handelt.)

CVE-2010-4802 - Schwachstelle im Perl-Modul Mojolicious

In der Datei Commands.pm in dem Modul Mojolicious vor Version 0.999928
wird die CGI-Umgebung nicht ordnungsgemaess erkannt. Dadurch ergeben
sich nicht naeher genannte Angriffsmoeglichkeiten fuer einen entfernten
Angreifer.

CVE-2010-4803 - Schwachstelle im Perl-Modul Mojolicious

In Mojolicious vor Version 0.999927 sind HMAC-MD5-Pruefsummen nicht
korrekt implementiert. Durch nicht beschriebene Angriffsvektoren ist es
Angreifern schlimmstenfalls moeglich, Sicherheitsvorkehrungen zu umgehen
und dadurch weitere Angriffe durchzufuehren.

CVE-2011-1589 - Schwachstelle in Mojolicious

Das Perl-basierte Webframework Mojolicious enthaelt eine Schwachstelle
bei der Verarbeitung von Benutzereingaben. Dies ermoeglicht es einem
Angreifer mit lokalen Zugriff Dateipfade an die Anwendung zu uebergeben,
und so beliebige Dateien auf dem System mit den Rechten des Webservers
zu oeffnen.

CVE-2011-1841 - Schwachstelle im Perl-Modul Mojolicious

In dem "link_to"-Helfer in Mojolicious vor Version 1.12 existiert eine
Cross-Site Scripting-Schwachstelle. Damit ist es einem entfernten
Angreifer moeglich, beliebige Web-Skripte einzuschleusen, die dann im
Kontext der Seite bei einem Anwender, der die Seite besucht, zur
Ausfuehrung gebracht werden.



(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Editiert von Dubu: CVE-2011-1589 ergänzt
Last edited: 2011-05-26 00:09:52 +0200 (CEST)

View full thread [Sicherheit] Mehrere Schwachstellen im Modul Mojolicious