JVNDB-2012-004255

Perl 用 YAML::LibYAML モジュールにおけるフォーマットストリングの脆弱性

Perl 用 YAML::LibYAML モジュール (別名 YAML-LibYAML および perl-YAML-LibYAML モジュール) のエラーレポート機能には、フォーマットストリングの脆弱性が存在します。

Ingy dot Net

• YAML::LibYAML 0.38

第三者により、下記の項目に含まれたフォーマットストリング指定子を介して、サービス運用妨害 (プロセスクラッシュ) 状態にされる可能性があります。

(1) Load 関数に対する YAML ストリーム
(2) load_node 関数に対する YAML ノード
(3) load_mapping 関数に対する YAML マッピング
(4) load_sequence 関数に対する YAML シーケンス

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Debian

• Debian Bug report logs : #661548
• Debian セキュリティ勧告 : DSA-2432

Fedora Project

• Fedora Update Notification : FEDORA-2012-4871
• Fedora Update Notification : FEDORA-2012-5035
• Fedora Update Notification : FEDORA-2012-4997

Ingy dot Net

• CPAN : YAML-LibYAML-0.38

openSUSE project

• opensuse-security-announce : openSUSE-SU-2012:1000

The Perl Foundation

• CPAN : Bug #75365
• CPAN : Bug #46507

レッドハット

• Red Hat Bugzilla : Bug 801738

1. 書式文字列の問題(CWE-134) [NVD評価]

1. CVE-2012-1152

1. National Vulnerability Database (NVD) : CVE-2012-1152

• [2012年09月12日]
    掲載
  [2012年10月22日]
    ベンダ情報：openSUSE (openSUSE-SU-2012:1000) を追加