Perl目录遍历漏洞

admin

0
文章

0
评论

2023-12-02 04:33:53 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Perl目录遍历漏洞

CVE编号

CVE-2018-12015

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-06-08

漏洞描述

发现在提取tar存档时，Archive :: Tar模块未正确清理符号链接。攻击者可以提供特制的存档进行处理，可以利用此漏洞在Perl解释器的上下文中写入或覆盖任意文件。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：https://rt.cpan.org/Public/Bug/Display.html?id=125523

参考链接
http://seclists.org/fulldisclosure/2019/Mar/49
http://www.securityfocus.com/bid/104423
http://www.securitytracker.com/id/1041048
https://access.redhat.com/errata/RHSA-2019:2097
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=900834
https://seclists.org/bugtraq/2019/Mar/42
https://security.netapp.com/advisory/ntap-20180927-0001/
https://support.apple.com/kb/HT209600
https://usn.ubuntu.com/3684-1/
https://usn.ubuntu.com/3684-2/
https://www.debian.org/security/2018/dsa-4226
https://www.oracle.com/security-alerts/cpujul2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	archive::tar_project	archive::tar	*		Up to (including) 2.28
	运行在以下环境
	应用	netapp	data_ontap_edge	-	-
	运行在以下环境
	应用	netapp	oncommand_workflow_automation	-	-
	运行在以下环境
	应用	netapp	snapdrive	-	-
	运行在以下环境
	应用	netapp	snap_creator_framework	-	-
	运行在以下环境
	应用	perl	perl	*		Up to (including) 5.26.2
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	perl-Archive-Tar	*		Up to (excluding) 1.92-3.1.al7
	运行在以下环境
	系统	alpine_3.10	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.11	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.12	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.13	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.14	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.15	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.16	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.17	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.18	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.5	perl	*		Up to (excluding) 5.24.4-r1
	运行在以下环境
	系统	alpine_3.6	perl	*		Up to (excluding) 5.24.4-r1
	运行在以下环境
	系统	alpine_3.7	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.8	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_3.9	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	alpine_edge	perl	*		Up to (excluding) 5.26.2-r1
	运行在以下环境
	系统	amazon_2	perl-Archive-Tar	*		Up to (excluding) 1.92-3.amzn2
	运行在以下环境
	系统	amazon_AMI	perl-Archive-Tar	*		Up to (excluding) 1.92-3.6.amzn1
	运行在以下环境
	系统	apple	mac_os_x	*		Up to (excluding) 10.14.4
	运行在以下环境
	系统	canonical	ubuntu_linux	12.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	14.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	16.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	17.10	-
	运行在以下环境
	系统	canonical	ubuntu_linux	18.04	-
	运行在以下环境
	系统	centos_7	perl-Archive-Tar	*		Up to (excluding) 1.92-3.el7
	运行在以下环境
系统	debian	debian_linux	8.0	-
运行在以下环境
系统	debian	debian_linux	9.0	-
运行在以下环境
系统	debian_10	perl	*		Up to (excluding) 5.26.2-6
运行在以下环境
系统	debian_11	perl	*		Up to (excluding) 5.26.2-6
运行在以下环境
系统	debian_12	perl	*		Up to (excluding) 5.26.2-6
运行在以下环境
系统	debian_sid	perl	*		Up to (excluding) 5.26.2-6
运行在以下环境
系统	fedora_27	perl-Archive-Tar	*		Up to (excluding) 2.28-1.fc27
运行在以下环境
系统	fedora_28	perl-Archive-Tar	*		Up to (excluding) 2.28-1.fc28
运行在以下环境
系统	opensuse_Leap_15.0	perl-32bit	*		Up to (excluding) 5.26.1-lp150.6.3.1
运行在以下环境
系统	opensuse_Leap_42.3	perl-32bit	*		Up to (excluding) 5.18.2-15.2
运行在以下环境
系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.92-3.el7
运行在以下环境
系统	redhat_7	perl-Archive-Tar	*		Up to (excluding) 1.92-3.el7
运行在以下环境
系统	suse_11_SP4	perl-doc	*		Up to (excluding) 0.72-0.81.13.1
运行在以下环境
系统	suse_12	perl	*		Up to (excluding) 5.18.2-12.14
运行在以下环境
系统	suse_12_SP3	perl-32bit	*		Up to (excluding) 5.18.2-12.14.1
运行在以下环境
系统	ubuntu_14.04	perl	*		Up to (excluding) 5.18.2-2ubuntu1.6
运行在以下环境
系统	ubuntu_14.04.6_lts	perl	*		Up to (excluding) 5.18.2-2ubuntu1.6
运行在以下环境
系统	ubuntu_16.04	perl	*		Up to (excluding) 5.22.1-9ubuntu0.5
运行在以下环境
系统	ubuntu_16.04.7_lts	perl	*		Up to (excluding) 5.22.1-9ubuntu0.5
运行在以下环境
系统	ubuntu_18.04	perl	*		Up to (excluding) 5.26.1-6ubuntu0.1
运行在以下环境
系统	ubuntu_18.04.5_lts	perl	*		Up to (excluding) 5.26.1-6ubuntu0.1