Wiele wersji interpretera Perl zawiera moduł Compress::Raw::Zlib z wbudowaną, podatną wersją biblioteki zlib. Podatność jest sklasyfikowana jako krytyczna (CVSS 9.8) i może być wykorzystana zdalnie bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Perl versions from 5.9.4 before 5.40.4-RC1, from 5.41.0 before 5.42.2-RC1, from 5.43.0 before 5.43.9 contain a vulnerable version of Compress::Raw::Zlib. Compress::Raw::Zlib is included in the Perl package as a dual-life core module, and is vulnerable to CVE-2026-3381 due to a vendored version of zlib which has several vulnerabilities, including CVE-2026-27171. The bundled Compress::Raw::Zlib was updated to version 2.221 in Perl blead commit c75ae9cc164205e1b6d6dbd57bd2c65c8593fe94.
Moduł Compress::Raw::Zlib jest dostarczany jako wbudowany moduł rdzeniowy (dual-life core module) w pakiecie Perl i zawiera własną, dołączoną kopię biblioteki zlib. Ta dołączona wersja zlib jest podatna na CVE-2026-3381 oraz CVE-2026-27171, które obejmują szereg luk bezpieczeństwa. Poprawka polega na aktualizacji wbudowanego modułu Compress::Raw::Zlib do wersji 2.221.
Atakujący zdalny, bez konieczności uwierzytelnienia, może doprowadzić do naruszenia poufności, integralności oraz dostępności systemu — potencjalnie uzyskując pełną kontrolę nad podatną aplikacją lub systemem.
Należy zaktualizować Perl do wersji 5.40.4-RC1 lub nowszej (gałąź stable), 5.42.2-RC1 lub nowszej, bądź 5.43.9 lub nowszej (gałąź developerska). Alternatywnie, możliwa jest ręczna aktualizacja modułu Compress::Raw::Zlib do wersji 2.221 (commit c75ae9cc164205e1b6d6dbd57bd2c65c8593fe94). Szczegóły dostępne w referencjach producenta.
Perl w wersjach od 5.9.4 do (bez) 5.40.4-RC1, od 5.41.0 do (bez) 5.42.2-RC1 oraz od 5.43.0 do (bez) 5.43.9
Podatność wynika z zastosowania mechanizmu vendoringu — biblioteka zlib jest dołączona bezpośrednio do modułu Perl zamiast korzystać z biblioteki systemowej, co sprawia, że aktualizacja systemowego zlib nie usuwa podatności. Podatność powiązana z CVE-2026-3381 i CVE-2026-27171.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPerl
APPPerl5.9.4 – 5.40.4 (bez)5.41.0 – 5.42.2 (bez)5.43.0 – 5.43.9 (bez)
Powiązane podatności
Heap buffer overflow w Perl przy kompilacji wyrażeń regularnych (32-bit)
In Perl 5.34.0, function S_find_uninit_var in sv.c has a stack-based crash that can lead to remote code execut...
Perl before 5.26.3 and 5.28.x before 5.28.1 has a buffer overflow via a crafted regular expression that trigge...
Perl before 5.26.3 has a buffer overflow via a crafted regular expression that triggers invalid write operatio...
Perl before 5.26.3 has a buffer over-read via a crafted regular expression that triggers disclosure of sensiti...