Debians sikkerhedsbulletin

DSA-3261-1 libmodule-signature-perl -- sikkerhedsopdatering

Rapporteret den:
15. maj 2015
Berørte pakker:
libmodule-signature-perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 783451.
I Mitres CVE-ordbog: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i libmodule-signature-perl, et Perl-modul til behandling af CPAN's SIGNATURE-filer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-3406

    John Lightsey opdagede at Module::Signature kunne fortolke den usignerede del af en SIGNATURE-fil, som den signerede del, på grund af ukorrekt håndtering af grænser for PGP-signaturer.

  • CVE-2015-3407

    John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede filer, som ikke er anført i SIGNATURE-filen. Herunder nogle filer mappen t/, som blev udført når tests blev kørt.

  • CVE-2015-3408

    John Lightsey opdagede at Module::Signature anvendte toparameterkald til open() for at læse filer, når der blev genereret kontrolsummer ud fra det signerede manifest. Dermed var det muligt at indlejre vilkårlige shellkommandoer i SIGNATURE-filen, og disse blev udført under processen med at verificere signaturer.

  • CVE-2015-3409

    John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede indlæsning af moduler, hvorved det var muligt at indlæse moduler fra relative stier i @INC. En fjernangriber, som leverer et ondsindet modul, kunne udnytte fejlen til at udføre vilkårlig kode under signaturverifikationen.

Bemærk at libtest-signature-perl blev kompabilitetsopdateret vedrørende rettelsen af CVE-2015-3407 i libmodule-signature-perl.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 0.68-1+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 0.73-1+deb8u1.

I distributionen testing (stretch), er disse problemer rettet i version 0.78-1.

I den ustabile distribution (sid), er disse problemer rettet i version 0.78-1.

Vi anbefaler at du opgraderer dine libmodule-signature-perl-pakker.