ID CVE-2002-1323
Summary Safe.pm 2.0.7 and earlier, when used in Perl 5.8.0 and earlier, may allow attackers to break out of safe compartments in (1) Safe::reval or (2) Safe::rdo using a redefined @_ variable, which is not reset between successive calls.
References
Vulnerable Configurations
  • cpe:2.3:a:safe.pm:safe.pm:2.0_6:*:*:*:*:*:*:*
    cpe:2.3:a:safe.pm:safe.pm:2.0_6:*:*:*:*:*:*:*
  • cpe:2.3:a:safe.pm:safe.pm:2.0_7:*:*:*:*:*:*:*
    cpe:2.3:a:safe.pm:safe.pm:2.0_7:*:*:*:*:*:*:*
  • cpe:2.3:a:sun:linux:5.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:sun:linux:5.0.7:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.1:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.1:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.2:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.2:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.3:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.3:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.4:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.4:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.5:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.5:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.6:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.6:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.7:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.7:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.8:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.8:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.9:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.9:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.10:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.10:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.11:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.11:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.12:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.12:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.13:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.13:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.14:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.14:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.15:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.15:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.16:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.16:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.17:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.17:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.17f:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.17f:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.17m:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.17m:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.18:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.18:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.18f:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.18f:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.18m:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.18m:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.19:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.19:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.19f:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.19f:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.19m:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.19m:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.20f:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.20f:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.20m:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.20m:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.21f:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.21f:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.21m:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.21m:*:*:*:*:*:*:*
  • cpe:2.3:o:sgi:irix:6.5.22:*:*:*:*:*:*:*
    cpe:2.3:o:sgi:irix:6.5.22:*:*:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:advanced_server:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:advanced_server:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:advanced_server_ia64:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:advanced_server_ia64:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:enterprise_server:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:enterprise_server:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:enterprise_server_ia64:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:enterprise_server_ia64:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:workstation:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:workstation:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux:2.1:*:workstation_ia64:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux:2.1:*:workstation_ia64:*:*:*:*:*
  • cpe:2.3:o:redhat:linux_advanced_workstation:2.1:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:linux_advanced_workstation:2.1:*:*:*:*:*:*:*
  • cpe:2.3:o:sco:open_unix:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:sco:open_unix:8.0:*:*:*:*:*:*:*
  • cpe:2.3:o:sco:unixware:7.1.2:*:*:*:*:*:*:*
    cpe:2.3:o:sco:unixware:7.1.2:*:*:*:*:*:*:*
  • cpe:2.3:o:sco:unixware:7.1.3:*:*:*:*:*:*:*
    cpe:2.3:o:sco:unixware:7.1.3:*:*:*:*:*:*:*
  • cpe:2.3:o:sun:solaris:8.0:*:x86:*:*:*:*:*
    cpe:2.3:o:sun:solaris:8.0:*:x86:*:*:*:*:*
  • cpe:2.3:o:sun:solaris:9.0:*:sparc:*:*:*:*:*
    cpe:2.3:o:sun:solaris:9.0:*:sparc:*:*:*:*:*
  • cpe:2.3:o:sun:solaris:9.0:*:x86:*:*:*:*:*
    cpe:2.3:o:sun:solaris:9.0:*:x86:*:*:*:*:*
  • cpe:2.3:o:sun:sunos:5.8:*:*:*:*:*:*:*
    cpe:2.3:o:sun:sunos:5.8:*:*:*:*:*:*:*
CVSS
Base: 4.6 (as of 30-10-2018 - 16:25)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
LOCAL LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:L/AC:L/Au:N/C:P/I:P/A:P
oval via4
accepted 2008-07-07T04:00:13.994-04:00
class vulnerability
contributors
  • name Robert L. Hollis
    organization ThreatGuard, Inc.
  • name Nabil Ouchn
    organization Security-Database
  • name Dragos Prisaca
    organization Secure Elements, Inc.
definition_extensions
  • comment Solaris 8 (SPARC) is installed
    oval oval:org.mitre.oval:def:1539
  • comment Solaris 8 (x86) is installed
    oval oval:org.mitre.oval:def:2059
  • comment Solaris 9 (SPARC) is installed
    oval oval:org.mitre.oval:def:1457
  • comment Solaris 9 (x86) is installed
    oval oval:org.mitre.oval:def:1683
description Safe.pm 2.0.7 and earlier, when used in Perl 5.8.0 and earlier, may allow attackers to break out of safe compartments in (1) Safe::reval or (2) Safe::rdo using a redefined @_ variable, which is not reset between successive calls.
family unix
id oval:org.mitre.oval:def:1160
status accepted
submitted 2006-09-22T05:52:00.000-04:00
title Safe.PM Unsafe Code Execution Vulnerability
version 35
redhat via4
advisories
  • rhsa
    id RHSA-2003:256
  • rhsa
    id RHSA-2003:257
refmap via4
bid 6111
bugtraq
  • 20021216 [OpenPKG-SA-2002.014] OpenPKG Security Advisory (perl)
  • 20021219 TSLSA-2002-0087 - perl
  • 20021220 GLSA: perl
caldera CSSA-2004-007.0
confirm
debian DSA-208
osvdb
  • 2183
  • 3814
sco SCOSA-2004.1
sgi 20030606-01-A
vulnwatch 20021105 Perl Safe.pm compartment reuse vuln
xf safe-pm-bypass-restrictions(10574)
Last major update 30-10-2018 - 16:25
Published 11-12-2002 - 05:00
Back to Top