LSE discovers vulnerability in PERL Core

During an internal development project LSE Leading Experts GmbH employee Markus Vervier discovered a vulnerability in the Extension Data::Dumper which is contained in Perl-Core. When processing large recursive data structures, a Stack-Overflow is triggered, which could be used for attacks depending on context.

Affected Versions

The issues have been found in PERL Core v5.20.1

Read more in the corresponding Security Advisory

LSE deckt Schwachstelle in PERL Core auf

Während eines Penetrationstests entdeckten die LSE Sicherheitsexperten Markus Vervier und Sascha Kettler, dass der Installer des Sitepark Information Enterprise Server für unauthentifizierte Benutzer über HTTP erreichbar war.

Ein Angreifer hatte die Möglichkeit, den Lizenzschlüssel und die Verzeichnisnamen des IES auszulesen. Weiterhin konnte das Passwort für den Benutzer “manager” zurückgesetzt werden. Dies erlaubte den Vollzugriff mit der Managementrolle.

Betroffene Versionen

Information Enterprise Server (IES) Version 2.9 bis 2.9.6

Weitere Informationen können Sie dem von LSE bereitgestellten Security-Advisory entnehmen.