Problema de seguridad en el sistema hash
Publicado: 2013-03-05 18:08 @797El siguiente mensaje concierne a un fallo en el sistema hash en perl 5.
Este problema afecta a todas las versiones en producción de perl, desde 5.8.2 a 5.16.x. No afecta al próximo perl 5.18.
Para impedir un ataque de complejidad algorítmica contra el mecanismo hash, perl, algunas veces, recalculará las claves y redistribuirá los contenidos del hash. Este mecanismo ha hecho a perl más robusto contra ataques que sí han sido vistos en otros sistemas.
Una investigación de Yves Orton ha descubierto recientemente un fallo en ese código, que puede resultar en un comportamiento patológico. Este fallo puede ser explotado para provocar ataques de denegación de servicio en aquellos sistemas que usen la entrada arbitraria del usuario como claves hash.
Debido a que usar cadenas de caracteres ofrecidas por el usuario, como claves hash, es una operación muy común, urgimos a los usuarios de perl a que actualicen su ejecutable perl tan pronto como sea posible.
Hoy se han introducido actualizaciones que corrigen este problema en las ramas main-5.8, maint-5.10, maint-5.12, maint-5.14, y maint-5.16. perl 5.14.4 y 5.16.3 serán publicadas pronto, incluyendo esos arreglos. No hay planes para publicar ninguna otra versión.
Los fabricantes han sido informados de este problema hace dos semanas y se espera que hoy empaqueten actualizaciones (o muy pronto).
bleadperl no está afectado.
Este problema tiene asignado el identificador CVE-2013-1667.
Artículo (en inglés)
Este problema afecta a todas las versiones en producción de perl, desde 5.8.2 a 5.16.x. No afecta al próximo perl 5.18.
Para impedir un ataque de complejidad algorítmica contra el mecanismo hash, perl, algunas veces, recalculará las claves y redistribuirá los contenidos del hash. Este mecanismo ha hecho a perl más robusto contra ataques que sí han sido vistos en otros sistemas.
Una investigación de Yves Orton ha descubierto recientemente un fallo en ese código, que puede resultar en un comportamiento patológico. Este fallo puede ser explotado para provocar ataques de denegación de servicio en aquellos sistemas que usen la entrada arbitraria del usuario como claves hash.
Debido a que usar cadenas de caracteres ofrecidas por el usuario, como claves hash, es una operación muy común, urgimos a los usuarios de perl a que actualicen su ejecutable perl tan pronto como sea posible.
Hoy se han introducido actualizaciones que corrigen este problema en las ramas main-5.8, maint-5.10, maint-5.12, maint-5.14, y maint-5.16. perl 5.14.4 y 5.16.3 serán publicadas pronto, incluyendo esos arreglos. No hay planes para publicar ninguna otra versión.
Los fabricantes han sido informados de este problema hace dos semanas y se espera que hoy empaqueten actualizaciones (o muy pronto).
bleadperl no está afectado.
Este problema tiene asignado el identificador CVE-2013-1667.
Artículo (en inglés)