Bulletin d'alerte Debian
DSA-3261-1 libmodule-signature-perl -- Mise à jour de sécurité
- Date du rapport :
- 15 mai 2015
- Paquets concernés :
- libmodule-signature-perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 783451.
Dans le dictionnaire CVE du Mitre : CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans libmodule-signature-perl, un module de Perl pour manipuler les fichiers SIGNATURE du CPAN. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2015-3406
John Lightsey a découvert que Module::Signature pourrait analyser la partie non signée du fichier SIGNATURE comme la partie signée à cause d'un traitement incorrect des limites de la signature PGP.
- CVE-2015-3407
John Lightsey a découvert que Module::Signature traite incorrectement les fichiers qui ne sont pas listés dans le fichier SIGNATURE. Cela inclut certains fichiers dans le répertoire t/ qui pourraient s'exécuter lors des tests.
- CVE-2015-3408
John Lightsey a découvert que Module::Signature utilisait deux appels de l'argument open() pour lire les fichiers lors de la génération des sommes de contrôle à partir du manifeste signé. Cela permet d'embarquer des commandes de shell arbitraires dans le fichier SIGNATURE qui pourraient s'exécuter lors du processus de vérification de signature.
- CVE-2015-3409
John Lightsey a découvert que Module::Signature traite incorrectement le chargement de module, permettant de charger des modules à partir de chemins relatifs dans @INC. Un attaquant distant fournissant un module malveillant pourrait utiliser ce problème pour exécuter du code arbitraire lors de la vérification de la signature.
Notez que libtest-signature-perl a reçu une mise à jour pour assurer la compatibilité avec la correction pour CVE-2015-3407 dans libmodule-signature-perl.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.68-1+deb7u2.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.73-1+deb8u1.
Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 0.78-1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.78-1.
Nous vous recommandons de mettre à jour vos paquets libmodule-signature-perl.
- CVE-2015-3406