Perl-Schwachstelle ermöglicht DoS und Code-Ausführung

16.04.2025 - Warnmeldung

Eine Sicherheitslücke in der weit verbreiteten Programmiersprache Perl gibt Angreifenden die Möglichkeit, Perl-Systeme abstürzen zu lassen oder einen RCE-Angriff auszuführen. Betroffene sollten die verfügbaren Versionen zum Schließen der Lücke rasch installieren.

Ursache: Heap Buffer Overflow

Mit speziell präparierten Perl-Befehlen können Angreifende einen Heap Buffer Overflow ausnutzen. Dabei führen sie eingeschleusten Schadcode aus (RCE: Remote Code Execution) oder bringen das Perl-System zum Absturz (Denial of Service).

Betroffen sind folgende Perl-Versionen:

5.34
5.36
5.38
5.40
Entwicklerversionen 5.33.1 bis 5.41.10

Die Schwachstelle besitzt die CVE-Kennung CVE-2024-56406 mit einem CVSS-Score von 8.6/10 (hoch).

Perl ist eine freie, plattformunabhängige Programmiersprache.

Empfehlung

Installieren Sie eine geeignete Patch-Version von Perl:

5.38.4
5.40.2

Weitere Informationen

Meldung bei Daily CyberSecurity (engl.)
Beitrag bei Debian Security Tracker (engl.)
Simplelists-Artikel (engl.)
Release Notes zu Perl Version 5.38.4 (engl.)
Release Notes zu Perl Version 5.40.2 (engl.)
BSI-Meldung