آسیب پذیری سرریز بافر برای PERL_EXECVE50C در POSIX::2008 Package

چکیده

این آسیب مربوط  POSIX::2008 Package تا نسخه 0.23 در Perl   در دسته آسیب پذیری های بحرانی دسته بندی میشود. این آسیب پذیری بر روی تابع _execve50c تاثیر می گذارد. دستکاری این المان می تواند منجر به آسیب پذیری سرریز بافر شود. این حمله ممکن است از راه دور قابل اجرا باشد. جزئیات فنی این آسیب پذیری مشخص است اما اکسپلویتی برای این حمله در دسترس نمی باشد. توصیه شده است که المان آسیب پذیر را به نسخه بالاتر ارتقا دهید.

توضیحات

یک آسیب پذیری موجود در POSIX::2008 package  پیش از نسخه 0.24 بر روی عملکرد تابعenv _execve50c زبان Perl  اثر می گذارد. دستگاری این تابع می تواند منجر به سرریز بافر شود. محصول ورودی بافر را بدون ارزیابی این مساله که آیا این ورودی کوچکتر از اندازه بافر هست یا خیر، در بافر خروجی کپی می کند و همین امر منجر به سرریز شدن بافر خواهد شد. این آسیب پذیری بر محرمانگی و جامعیت محصول تاثیر خواهد گذاشت.

سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.

محصولات آسیب پذیر

در زمان انتشار این اعلامیه، محصولاتی که از نسخه های زیر استفاده می کنند، معرض این آسیب پذیری قرار دارند:

• POSIX::2008 Package <=0.23

نرم افزار اصلاح شده

به منظور حذف این آسیب پذیری، محصول را به نسخه 0.24 ارتقا دهید.

نتیجه گیری

آسیب پذیری فوق در دسته آسیب پذیری های بحرانی (Critical) دسته بندی می شود.  توصیه شده است که به منظور رفع این تهدید،  نرم افزار آسیب پذیر را به نسخه های بالاتر ارتقا دهید.

منابع

1. https://metacpan.org/dist/POSIX-2008/changes#L1
2. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-55564
3. https://www.cve.org/CVERecord?id=CVE-2024-55564
4. https://www.cvedetails.com/cve/CVE-2024-55564/
5. https://www.cvedetails.com/cwe-details/120/Buffer-Copy-without-Checking-Size-of-Input-Classic-Buffer-.html
6. https://cwe.mitre.org/data/definitions/119.html