Vulnerability Details : CVE-2011-2939
Off-by-one error in the decode_xs function in Unicode/Unicode.xs in the Encode module before 2.44, as used in Perl before 5.15.6, might allow context-dependent attackers to cause a denial of service (memory corruption) via a crafted Unicode string, which triggers a heap-based buffer overflow.
Vulnerability category: OverflowMemory CorruptionDenial of service
Products affected by CVE-2011-2939
- cpe:2.3:a:perl:perl:*:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.6:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.9.2:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.8:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.0:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.1:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.1:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.2:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.3:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.4:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.9:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.7:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.5:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.14.0:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.0:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.1:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.1:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.10.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.4:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.5:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.6:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.2:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.3:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.11:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.0:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.1:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.9:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.10:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.7:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.13.8:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.1:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.0:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.4:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.5:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.2:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.11.3:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc0:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.3:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.3:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.3:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc4:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.1:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc5:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.1:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.1:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.2:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.0:rc3:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.3:rc3:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.12.2:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.14.0:rc3:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.14.0:rc2:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.14.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.8.10:*:*:*:*:*:*:*
- cpe:2.3:a:perl:perl:5.14.1:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:*:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.42:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.41:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.34:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.33:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.36:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.35:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.28:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.27:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.19:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.18:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.11:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.10:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.03:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.02:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.94:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.93:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.86:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.85:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.78:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.77:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.69:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.68:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.61:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.60:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.53:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.52:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.51:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.32:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.31:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.11:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.10:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.94:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.93:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.38:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.37:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.30:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.29:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.22:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.21:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.20:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.13:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.12:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.05:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.04:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.96:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.95:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.88:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.87:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.80:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.79:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.71:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.70:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.63:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.62:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.55:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.54:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.34:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.33:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.21:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.20:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.97:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.96:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.95:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.40:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.39:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.32:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.31:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.24:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.23:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.15:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.14:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.07:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.06:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.99:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.98:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.97:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.90:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.89:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.82:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.81:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.73:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.72:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.65:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.64:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.57:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.56:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.41:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.40:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.26:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.25:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.99:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:0.98:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.26:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.25:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.17:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.16:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.09:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.08:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.01:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:2.0:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.92:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.91:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.84:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.83:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.76:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.75:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.74:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.67:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.66:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.59:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.58:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.50:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.42:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.30:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.28:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.01:*:*:*:*:*:*:*
- cpe:2.3:a:dan_kogai:encode_module:1.00:*:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2011-2939
1.90%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 89 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2011-2939
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
5.1
|
MEDIUM | AV:N/AC:H/Au:N/C:P/I:P/A:P |
4.9
|
6.4
|
NIST |
CWE ids for CVE-2011-2939
-
Assigned by: nvd@nist.gov (Primary)
References for CVE-2011-2939
-
http://www.openwall.com/lists/oss-security/2011/08/18/8
oss-security - CVE request: heap overflow in perl while decoding Unicode string
-
http://perl5.git.perl.org/perl.git/commitdiff/e46d973584785af1f445c4dedbee4243419cb860#patch5
Perl 5 - perl.git/commitdiffExploit;Patch
-
http://search.cpan.org/~flora/perl-5.14.2/pod/perldelta.pod#Encode_decode_xs_n-byte_heap-overflow_%28CVE-2011-2939%29
perldelta - what is new for perl v5.14.2 - metacpan.org
-
http://www.redhat.com/support/errata/RHSA-2011-1424.html
Support
-
http://www.mandriva.com/security/advisories?name=MDVSA-2012:008
mandriva.com
-
http://cpansearch.perl.org/src/FLORA/perl-5.14.2/pod/perldelta.pod
-
https://bugzilla.redhat.com/show_bug.cgi?id=731246
731246 – (CVE-2011-2939) CVE-2011-2939 Perl decode_xs heap-based buffer overflowPatch
-
http://www.securityfocus.com/bid/49858
Perl 'decode_xs()' and 'File::Glob::bsd_glob()' Remote Code Execution Vulnerabilities
-
http://www.openwall.com/lists/oss-security/2011/08/19/17
oss-security - Re: CVE request: heap overflow in perl while decoding Unicode stringPatch
-
http://www.ubuntu.com/usn/USN-1643-1
USN-1643-1: Perl vulnerabilities | Ubuntu security notices
Jump to