Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3261-1 libmodule-signature-perl

Bulletin d'alerte Debian

DSA-3261-1 libmodule-signature-perl -- Mise à jour de sécurité

Date du rapport :

15 mai 2015

Paquets concernés :

libmodule-signature-perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 783451.
Dans le dictionnaire CVE du Mitre : CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libmodule-signature-perl, un module de Perl pour manipuler les fichiers SIGNATURE du CPAN. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-3406

  John Lightsey a découvert que Module::Signature pourrait analyser la partie non signée du fichier SIGNATURE comme la partie signée à cause d'un traitement incorrect des limites de la signature PGP.

• CVE-2015-3407

  John Lightsey a découvert que Module::Signature traite incorrectement les fichiers qui ne sont pas listés dans le fichier SIGNATURE. Cela inclut certains fichiers dans le répertoire t/ qui pourraient s'exécuter lors des tests.

• CVE-2015-3408

  John Lightsey a découvert que Module::Signature utilisait deux appels de l'argument open() pour lire les fichiers lors de la génération des sommes de contrôle à partir du manifeste signé. Cela permet d'embarquer des commandes de shell arbitraires dans le fichier SIGNATURE qui pourraient s'exécuter lors du processus de vérification de signature.

• CVE-2015-3409

  John Lightsey a découvert que Module::Signature traite incorrectement le chargement de module, permettant de charger des modules à partir de chemins relatifs dans @INC. Un attaquant distant fournissant un module malveillant pourrait utiliser ce problème pour exécuter du code arbitraire lors de la vérification de la signature.

Notez que libtest-signature-perl a reçu une mise à jour pour assurer la compatibilité avec la correction pour CVE-2015-3407 dans libmodule-signature-perl.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.68-1+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.73-1+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 0.78-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.78-1.

Nous vous recommandons de mettre à jour vos paquets libmodule-signature-perl.