Bulletin d'alerte Debian

DLA-264-1 libmodule-signature-perl -- Mise à jour de sécurité pour LTS

Date du rapport :
1er juillet 2015
Paquets concernés :
libmodule-signature-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 783451.
Dans le dictionnaire CVE du Mitre : CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.
Plus de précisions :

John Lightsey a découvert plusieurs vulnérabilités dans Module::Signature, un module de Perl pour manipuler les fichiers SIGNATURE du CPAN. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-3406

    Module::Signature pourrait analyser la partie non signée du fichier SIGNATURE comme la partie signée à cause d'un traitement incorrect des limites de la signature PGP.

  • CVE-2015-3407

    Module::Signature traite incorrectement les fichiers qui ne sont pas listés dans le fichier SIGNATURE. Cela inclut certains fichiers dans le répertoire t/ qui pourraient s'exécuter lors des tests.

  • CVE-2015-3408

    Module::Signature utilisait deux appels de l'argument open() pour lire les fichiers lors de la génération des sommes de contrôle à partir du manifeste signé. Cela permet d'embarquer des commandes de shell arbitraires dans le fichier SIGNATURE qui pourraient s'exécuter lors du processus de vérification de signature.

  • CVE-2015-3409

    Module::Signature traite incorrectement le chargement de module, permettant de charger des modules à partir de chemins relatifs dans @INC. Un attaquant distant fournissant un module malveillant pourrait utiliser ce problème pour exécuter du code arbitraire lors de la vérification de la signature.

Pour la distribution Squeeze, ces problèmes ont été corrigés dans la version 0.63-1+squeeze2 de libmodule-signature-perl. Notez que libtest-signature-perl a reçu une mise à jour pour assurer la compatibilité avec la correction pour CVE-2015-3407.

Nous vous recommandons de mettre à jour vos paquets libmodule-signature-perl et libtest-signature-perl.