低危 Perl缓冲区错误漏洞

CVE编号

CVE-2020-10543

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-06

漏洞描述

Perl是Perl社区的一款通用、解释型、动态的跨平台编程语言。 Perl 5.30.3之前版本（基于32位平台）中的正则表达式编辑器存在缓冲区错误漏洞。攻击者可利用该漏洞造成拒绝服务。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.perl.org/get.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00044.html
https://github.com/Perl/perl5/blob/blead/pod/perl5303delta.pod
https://github.com/perl/perl5/commit/897d1f7fd515b828e4b198d8b8bef76c6faf03ed
https://github.com/Perl/perl5/compare/v5.30.2...v5.30.3
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202006-03
https://security.netapp.com/advisory/ntap-20200611-0001/
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	perl	perl	*		Up to (excluding) 5.30.3
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	perl-debuginfo	*		Up to (excluding) 5.16.3-299.1.al7
	运行在以下环境
	系统	alpine_3.10	perl	*		Up to (excluding) 5.28.3-r0
	运行在以下环境
	系统	alpine_3.11	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.12	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.13	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.14	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.15	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.16	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.17	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.18	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	alpine_3.9	perl	*		Up to (excluding) 5.26.3-r1
	运行在以下环境
	系统	alpine_edge	perl	*		Up to (excluding) 5.30.3-r0
	运行在以下环境
	系统	amazon_2	perl	*		Up to (excluding) 5.16.3-299.amzn2.0.1
	运行在以下环境
	系统	anolis_os_8	perl-devel	*		Up to (excluding) 1.26-418
	运行在以下环境
	系统	anolis_os_8.2	perl-tests	*		Up to (excluding) 1.06-418
	运行在以下环境
	系统	centos_7	perl	*		Up to (excluding) 1.9800-299.el7_9
	运行在以下环境
	系统	centos_8	perl-IO	*		Up to (excluding) 1.23-419.el8
	运行在以下环境
	系统	debian_10	perl	*		Up to (excluding) 5.28.1-6+deb10u1
	运行在以下环境
	系统	debian_11	perl	*		Up to (excluding) 5.30.3-1
	运行在以下环境
	系统	debian_12	perl	*		Up to (excluding) 5.30.3-1
	运行在以下环境
	系统	debian_9	perl	*		Up to (excluding) 5.24.1-3+deb9u7
	运行在以下环境
	系统	debian_sid	perl	*		Up to (excluding) 5.30.3-1
	运行在以下环境
	系统	fedora_31	perl-IO-1.40-452.fc31.aarch64.rpm (	*		Up to (excluding) 5.30.3-452.fc31
	运行在以下环境
	系统	fedora_31_Modular	perl	*		Up to (excluding) 5.30-3120200602094358.a9ea5770
	运行在以下环境
	系统	fedora_32	perl-IO-debuginfo-1.40-453.fc32.ppc64le.rpm (	*		Up to (excluding) 5.30.3-453.fc32
	运行在以下环境
	系统	fedora_32_Modular	perl	*		Up to (excluding) 5.30-3220200602094358.35f641a4
	运行在以下环境
	系统	kylinos_aarch64_V10	perl	*		Up to (excluding) 5.16.3-299.el7_9
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	perl	*		Up to (excluding) 5.28.3-3.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	perl	*		Up to (excluding) 5.16.3-299.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	perl	*		Up to (excluding) 5.28.3-3.p01.ky10
	运行在以下环境
系统	opensuse_Leap_15.1	perl-base	*		Up to (excluding) 5.26.1-lp151.9.6.1
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 0.02-144.0.1.el6
运行在以下环境
系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.04-299.el7_9
运行在以下环境
系统	oracle_8	oraclelinux-release	*		Up to (excluding) 5.26.3-419.el8
运行在以下环境
系统	redhat_7	perl	*		Up to (excluding) 1.9800-299.el7_9
运行在以下环境
系统	redhat_8	perl-IO	*		Up to (excluding) 1.23-419.el8
运行在以下环境
系统	suse_12_SP4	perl-32bit	*		Up to (excluding) 5.18.2-12.23.1
运行在以下环境
系统	suse_12_SP5	perl-32bit	*		Up to (excluding) 5.18.2-12.23.1
运行在以下环境
系统	ubuntu_16.04	perl	*		Up to (excluding) 5.22.1-9ubuntu0.9
运行在以下环境
系统	ubuntu_16.04.7_lts	perl	*		Up to (excluding) 5.22.1-9ubuntu0.9
运行在以下环境
系统	ubuntu_18.04	perl	*		Up to (excluding) 5.26.1-6ubuntu0.5
运行在以下环境
系统	ubuntu_18.04.5_lts	perl	*		Up to (excluding) 5.26.1-6ubuntu0.5
运行在以下环境
系统	ubuntu_20.04	perl	*		Up to (excluding) 5.30.0-9ubuntu0.2

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-190	整数溢出或超界折返
CWE-787	跨界内存写

Exp相关链接

- avd.aliyun.com