Perl に interger overflow 脆弱性発見
Perl は言わずと知れたCGIなんかでよく使われる言語ですよ。CGI使えます!なんていうホスティング屋も多い事でしょう。
http://www.openpkg.org/security/OpenPKG-SA-2005.025-perl.html
OpenPKGのセキュリティアドバイザリをいい加減に日本語化。正しくは原文参照のこと。無保証。
Dyad Securityからのセキュリティアドバイザリによると、integer overflow バグが Perl言語に見つかりました。この integer overflowはPerlの文字列整形関数 (Perl_sv_vcatpvfn)にあり、攻撃者は任意のメモリを上書きすることができ、 おそらくは文字列整形の指定部分に大きな値を使うことで任意のコードの実行が 可能でしょう。
というわけで、インパクトはそれなりに大きいのでは。
発見した Dyad Security によると、OS: Linux,BSD on IA32、Perl: 5.8.6, 5.9.2だけでテストしたけど、問題のソースコードは長い事そのままらしいから、以前のバージョンでも他のOSでも同様だろうね、ということらしい。
久々の面倒な事になる予感。Perlのバージョンアップなんてやってるヒマねーよ!客が書いたPerlスクリプトなんてテストできるわけねーだろ!!
なーんて文句を言ってるほうはまだマシで、この話を知らないまま新聞に載るまで放置こいてる会社のほうが圧倒的多数だと思うわけで。まだ攻撃用のコードは公開されてないっぽいからコドモの火遊びはないと思うけど、参ったなーと思う諸兄は今後の情報に注意されたし。
以下、情報源。俺の文章だけを読んで知った気にならないこと。
http://www.dyadsecurity.com/perl-0002.html
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2005-3962
CVEにはまだ乗ってないらしい。(Candidateもまだないけど、IDだけは流れてる謎)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3962