Perl-Sicherheitsalarm: Wichtige Updates für Linux-Nutzer jetzt nötig!
Perl, Deutschland - Am 11. Juni 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen dringenden Sicherheitshinweis für die Programmiersprache Perl veröffentlicht. Dieser Hinweis, von dem vor allem Systeme unter Linux und UNIX betroffen sind, wurde bereits am 9. Juni 2025 herausgegeben. Besonders gefährdet sind Produkte wie Red Hat Enterprise Linux, Oracle Linux und Open Source Perl.
Die aktuellen Empfehlungen des Herstellers Oracle beinhalten die Installation von Sicherheitspatches sowie die regelmäßige Aktualisierung betroffener Anwendungen. Am 10. Juni 2025 wurde das Oracle Linux Security Advisory ELSA-2025-8635 veröffentlicht, das wichtige Informationen zu den erforderlichen Maßnahmen bereitstellt.
Risikoeinschätzung und Sicherheitsanfälligkeiten
Die Risikoeinschätzung durch das BSI stuft die Sicherheitsanfälligkeiten als mittel ein, mit einer Risikostufe von 3. Der CVSS Base Score liegt bei 6,2 und der temporäre Score bei 5,4. Es wird darauf hingewiesen, dass ein Remoteangriff nicht möglich ist.
Die besonderen Schwachstellen in Perl können jedoch zu einem Denial of Service führen und ermöglichen möglicherweise die Ausführung beliebigen Programmcodes. Es wurden zwei eindeutige CVE-Identifikationsnummern veröffentlicht: CVE-2025-23016 und CVE-2025-40907, wobei letzterer eine wichtige Sicherheitsanfälligkeit in den FCGI-Versionen 0.44 bis 0.82 für Perl beschreibt.
Details zu CVE-2025-40907
Wie aus dem Sicherheitstracker von Debian hervorgeht, bezieht sich CVE-2025-40907 auf eine Sicherheitsanfälligkeit in der FastCGI-Bibliothek, die einen Integer Overflow und damit einen potenziellen Heap-basierten Buffer Overflow verursacht. Diese Schwachstelle wird durch manipulierte Werte in der Funktion ReadParams in der Datei fcgiapp.c ausgelöst.
Die betroffenen Pakete, die diese Bibliothek verwenden, wurden bereits in verschiedenen Versionen gefixt. So sind die Versionen 0.79+ds-2 für „bullseye“ und 0.82+ds-2 für „bookworm“ als sicher eingestuft.
Links zu weiterführenden Informationen
Für Administratoren und Nutzer, die mehr über die Sicherheitsanfälligkeiten und die empfohlenen Maßnahmen erfahren möchten, stehen verschiedene Links zur Verfügung. Dazu zählen:
- Oracle Linux Security Advisory ELSA-2025-8635
- NIST CVE-2025-23016
- NIST CVE-2025-40907
- Red Hat Security Advisories (RHSA-2025:8703)
- Red Hat Security Advisories (RHSA-2025:8698)
- Red Hat Security Advisories (RHSA-2025:8697)
- Red Hat Security Advisories (RHSA-2025:8696)
- Red Hat Security Advisories (RHSA-2025:8678)
- Red Hat Security Advisories (RHSA-2025:8677)
- Red Hat Security Advisories (RHSA-2025:8636)
- Red Hat Security Advisories (RHSA-2025:8635)
- Red Hat Security Advisories (RHSA-2025:8625)
| Details | |
|---|---|
| Ort | Perl, Deutschland |
| Quellen | |