CVE-2011-2939

MEDIUM

Description

Off-by-one error in the decode_xs function in Unicode/Unicode.xs in the Encode module before 2.44, as used in Perl before 5.15.6, might allow context-dependent attackers to cause a denial of service (memory corruption) via a crafted Unicode string, which triggers a heap-based buffer overflow.

References

http://cpansearch.perl.org/src/FLORA/perl-5.14.2/pod/perldelta.pod

http://perl5.git.perl.org/perl.git/commitdiff/e46d973584785af1f445c4dedbee4243419cb860#patch5

http://search.cpan.org/~flora/perl-5.14.2/pod/perldelta.pod#Encode_decode_xs_n-byte_heap-overflow_(CVE-2011-2939)

http://secunia.com/advisories/46172

http://secunia.com/advisories/46989

http://secunia.com/advisories/51457

http://secunia.com/advisories/55314

http://www.mandriva.com/security/advisories?name=MDVSA-2012:008

http://www.openwall.com/lists/oss-security/2011/08/18/8

http://www.openwall.com/lists/oss-security/2011/08/19/17

http://www.redhat.com/support/errata/RHSA-2011-1424.html

http://www.securityfocus.com/bid/49858

http://www.ubuntu.com/usn/USN-1643-1

https://bugzilla.redhat.com/show_bug.cgi?id=731246

Details

Source: MITRE

Published: 2012-01-13

Updated: 2018-08-13

Type: CWE-189

Risk Information

CVSS v2.0

Base Score: 5.1

Vector: AV:N/AC:H/Au:N/C:P/I:P/A:P

Impact Score: 6.4

Exploitability Score: 4.9

Severity: MEDIUM

Vulnerable Software

Configuration 1

OR

cpe:2.3:a:dan_kogai:encode_module:0.93:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.94:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.95:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.96:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.97:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.98:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:0.99:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.00:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.01:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.10:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.11:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.20:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.21:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.25:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.26:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.28:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.30:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.31:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.32:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.33:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.34:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.40:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.41:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.42:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.50:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.51:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.52:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.53:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.54:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.55:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.56:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.57:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.58:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.59:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.60:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.61:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.62:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.63:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.64:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.65:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.66:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.67:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.68:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.69:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.70:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.71:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.72:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.73:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.74:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.75:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.76:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.77:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.78:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.79:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.80:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.81:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.82:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.83:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.84:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.85:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.86:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.87:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.88:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.89:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.90:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.91:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.92:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.93:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.94:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.95:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.96:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.97:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.98:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:1.99:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.0:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.01:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.02:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.03:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.04:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.05:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.06:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.07:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.08:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.09:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.10:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.11:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.12:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.13:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.14:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.15:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.16:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.17:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.18:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.19:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.20:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.21:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.22:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.23:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.24:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.25:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.26:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.27:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.28:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.29:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.30:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.31:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.32:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.33:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.34:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.35:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.36:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.37:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.38:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.39:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.40:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.41:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:2.42:*:*:*:*:*:*:*

cpe:2.3:a:dan_kogai:encode_module:*:*:*:*:*:*:*:* versions up to 2.43 (inclusive)

cpe:2.3:a:perl:perl:5.8.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.2:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.3:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.4:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.5:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.6:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.7:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.8:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.9:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.8.10:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.9.2:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.0:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.0:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.0:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.1:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.10.1:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.0:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.2:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.3:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.4:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.11.5:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc0:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc3:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc4:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.0:rc5:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.1:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.1:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.2:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.2:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.3:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.3:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.3:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.12.3:rc3:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.0:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.2:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.3:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.4:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.5:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.6:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.7:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.8:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.9:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.10:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.13.11:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.14.0:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.14.0:rc1:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.14.0:rc2:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.14.0:rc3:*:*:*:*:*:*

cpe:2.3:a:perl:perl:5.14.1:*:*:*:*:*:*:*

cpe:2.3:a:perl:perl:*:*:*:*:*:*:*:* versions up to 5.14.2 (inclusive)

Tenable Plugins

View all (13 total)

ID	Name	Product	Family	Severity
80731	Oracle Solaris Third-Party Patch Update : perl-58 (cve_2012_5526_configuration_vulnerability1)	Nessus	Solaris Local Security Checks	high
75994	openSUSE Security Update : perl (openSUSE-SU-2011:1278-1)	Nessus	SuSE Local Security Checks	medium
75865	openSUSE Security Update : icedtea-web (openSUSE-SU-2011:1251-1)	Nessus	SuSE Local Security Checks	medium
75707	openSUSE Security Update : perl (openSUSE-SU-2011:1278-1)	Nessus	SuSE Local Security Checks	medium
75529	openSUSE Security Update : icedtea-web (openSUSE-SU-2011:1251-1)	Nessus	SuSE Local Security Checks	medium
72033	GLSA-201401-11 : Perl, Locale Maketext Perl module: Multiple vulnerabilities	Nessus	Gentoo Local Security Checks	high
69578	Amazon Linux AMI : perl (ALAS-2011-19)	Nessus	Amazon Linux Local Security Checks	high
68383	Oracle Linux 6 : perl (ELSA-2011-1424)	Nessus	Oracle Linux Local Security Checks	high
63109	Ubuntu 8.04 LTS / 10.04 LTS / 11.10 / 12.04 LTS / 12.10 : perl vulnerabilities (USN-1643-1)	Nessus	Ubuntu Local Security Checks	high
61169	Scientific Linux Security Update : perl on SL6.x i386/x86_64	Nessus	Scientific Linux Local Security Checks	high
57593	Mandriva Linux Security Advisory : perl (MDVSA-2012:008)	Nessus	Mandriva Local Security Checks	high
56709	RHEL 6 : perl (RHSA-2011:1424)	Nessus	Red Hat Local Security Checks	high
56696	Fedora 14 : perl-5.12.4-147.fc14 (2011-13874)	Nessus	Fedora Local Security Checks	high