Debians sikkerhedsbulletin
DSA-3261-1 libmodule-signature-perl -- sikkerhedsopdatering
- Rapporteret den:
- 15. maj 2015
- Berørte pakker:
- libmodule-signature-perl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 783451.
I Mitres CVE-ordbog: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409. - Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i libmodule-signature-perl, et Perl-modul til behandling af CPAN's SIGNATURE-filer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-3406
John Lightsey opdagede at Module::Signature kunne fortolke den usignerede del af en SIGNATURE-fil, som den signerede del, på grund af ukorrekt håndtering af grænser for PGP-signaturer.
- CVE-2015-3407
John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede filer, som ikke er anført i SIGNATURE-filen. Herunder nogle filer mappen t/, som blev udført når tests blev kørt.
- CVE-2015-3408
John Lightsey opdagede at Module::Signature anvendte toparameterkald til open() for at læse filer, når der blev genereret kontrolsummer ud fra det signerede manifest. Dermed var det muligt at indlejre vilkårlige shellkommandoer i SIGNATURE-filen, og disse blev udført under processen med at verificere signaturer.
- CVE-2015-3409
John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede indlæsning af moduler, hvorved det var muligt at indlæse moduler fra relative stier i @INC. En fjernangriber, som leverer et ondsindet modul, kunne udnytte fejlen til at udføre vilkårlig kode under signaturverifikationen.
Bemærk at libtest-signature-perl blev kompabilitetsopdateret vedrørende rettelsen af CVE-2015-3407 i libmodule-signature-perl.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 0.68-1+deb7u2.
I den stabile distribution (jessie), er disse problemer rettet i version 0.73-1+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 0.78-1.
I den ustabile distribution (sid), er disse problemer rettet i version 0.78-1.
Vi anbefaler at du opgraderer dine libmodule-signature-perl-pakker.
- CVE-2015-3406