Bulletin d'alerte Debian

DLA-584-1 libsys-syslog-perl -- Mise à jour de sécurité pour LTS

Date du rapport :
4 août 2016
Paquets concernés :
libsys-syslog-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1238.
Plus de précisions :

John Lightsey et Todd Rinaldo ont signalé que le chargement opportuniste de modules optionnels peut provoquer le chargement involontaire de code par de nombreux programmes à partir du répertoire de travail courant (qui pourrait être changé pour un autre répertoire sans que l'utilisateur s'en rende compte) et éventuellement mener à une élévation de privilèges, comme cela a été démontré dans Debian avec certaines combinaisons de paquets installés.

Le problème est lié au chargement de modules par Perl à partir du tableau de répertoires « includes » (« @INC ») dans lequel le dernier élément est le répertoire courant (« . »). Cela signifie que, quand perl souhaite charger un module (lors d'une première compilation ou du chargement différé d'un module durant l'exécution), Perl cherche finalement le module dans le répertoire courant, dans la mesure où « . » est le dernier répertoire inclus dans son tableau de répertoires inclus à explorer. Le problème vient de la demande de bibliothèques qui sont dans « . » mais qui ne sont pas autrement installées.

Avec cette mise à jour, le module Sys::Syslog de Perl est mis à jour pour ne pas charger de modules à partir du répertoire courant.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.29-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libsys-syslog-perl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.