Рекомендация Debian по безопасности

DLA-264-1 libmodule-signature-perl -- обновление безопасности LTS

Дата сообщения:
01.07.2015
Затронутые пакеты:
libmodule-signature-perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 783451.
В каталоге Mitre CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.
Более подробная информация:

Джон Лайтси обнаружил многочисленные уязвимости в Module::Signature, модуле Perl для работы с файлами CPAN SIGNATURE. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-3406

    Module::Signature может выполнять грамматический разбор неподписанной части файла SIGNATURE как подписанной части из-за неправильной обработки границ PGP-подписи.

  • CVE-2015-3407

    Module::Signature неправильно обрабатывает файлы, которые не указаны в файле SIGNATURE. Это включает в себя некоторые файлы в каталоге t/, которые будут выполнены при запуске тестов.

  • CVE-2015-3408

    Module::Signature использует вызовы open() с двумя аргументами для чтения файлов при создании контрольных сумм из подписанных деклараций. Это позволяет встраивать произвольные команды командной оболочки в файл SIGNATURE, которые будут выполнены в процессе проверки подписи.

  • CVE-2015-3409

    Module::Signature неправильно обрабатывает загрузку модулей, позволяя загружать модули по относительным путям в @INC. Удалённый злоумышленник, предоставивший специально сформированный модуль, может использовать данную проблему для выполнения произвольного кода в процессе проверки подписи.

В выпуске squeeze эти проблемы были исправлены в версии 0.63-1+squeeze2 пакет libmodule-signature-perl. Заметьте, что пакет libtest-signature-perl тоже был обновлён с целью обеспечения совместимости с исправлением CVE-2015-3407.

Рекомендуется обновить пакеты libmodule-signature-perl и libtest-signature-perl.