• Publicidad

Problema de seguridad en el sistema hash

Novedades y noticias acerca de todo lo relacionado a Perl.

Problema de seguridad en el sistema hash

Notapor explorer » 2013-03-05 18:08 @797

El siguiente mensaje concierne a un fallo en el sistema hash en perl 5.

Este problema afecta a todas las versiones en producción de perl, desde 5.8.2 a 5.16.x. No afecta al próximo perl 5.18.

Para impedir un ataque de complejidad algorítmica contra el mecanismo hash, perl, algunas veces, recalculará las claves y redistribuirá los contenidos del hash. Este mecanismo ha hecho a perl más robusto contra ataques que sí han sido vistos en otros sistemas.

Una investigación de Yves Orton ha descubierto recientemente un fallo en ese código, que puede resultar en un comportamiento patológico. Este fallo puede ser explotado para provocar ataques de denegación de servicio en aquellos sistemas que usen la entrada arbitraria del usuario como claves hash.

Debido a que usar cadenas de caracteres ofrecidas por el usuario, como claves hash, es una operación muy común, urgimos a los usuarios de perl a que actualicen su ejecutable perl tan pronto como sea posible.

Hoy se han introducido actualizaciones que corrigen este problema en las ramas main-5.8, maint-5.10, maint-5.12, maint-5.14, y maint-5.16. perl 5.14.4 y 5.16.3 serán publicadas pronto, incluyendo esos arreglos. No hay planes para publicar ninguna otra versión.

Los fabricantes han sido informados de este problema hace dos semanas y se espera que hoy empaqueten actualizaciones (o muy pronto).

bleadperl no está afectado.

Este problema tiene asignado el identificador CVE-2013-1667.

Artículo (en inglés)
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14486
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España

Publicidad

Volver a Noticias de Perl

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

cron