Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’un script CGI emploie le module Perl FCGI ou CGI::Fast, un
attaquant peut obtenir les variables définies lors de la première
requête.

Gravité : 2/4

Date création : 04/10/2011

PRODUITS CONCERNÉS

– Fedora
– Microsoft Windows - plateforme
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Perl FCGI (Fast CGI) permet de créer un processus
persistant pour traiter plusieurs requêtes successives. Ainsi, le
code d’initialisation n’est exécuté que lors de la première
requête.

Le module Perl CGI::Fast emploie FCGI.

Lors du premier appel, le module FCGI stocke les variables
d’environnement dans le haché %FCGI::ENV, puis lors des appels
suivants il les restitue. Cependant, les autres variables
(cookies, etc.) définies lors du premier appel sont aussi stockées
dans l’environnement, et sont donc accessibles lors des appels
suivants. Par exemple, un cookie d’authentification défini lors du
premier appel reste mémorisé, ce qui permet aux requêtes suivantes
d’être traitées comme authentifiées.

Lorsqu’un script CGI emploie le module Perl FCGI ou CGI::Fast, un
attaquant peut donc obtenir les variables définies lors de la
première requête.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Perl-FCGI-obtention-de-variables-11030