Рекомендация Debian по безопасности
DSA-3261-1 libmodule-signature-perl -- обновление безопасности
- Дата сообщения:
- 15.05.2015
- Затронутые пакеты:
- libmodule-signature-perl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 783451.
В каталоге Mitre CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409. - Более подробная информация:
-
В libmodule-signature-perl, модуле Perl для работы с файлами CPAN SIGNATURE, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-3406
Джон Лайтси обнаружил, что Module::Signature из-за некорректной обработки границ подписи PGP может выполнять грамматический разбор неподписанной части файла SIGNATURE как части подписанной.
- CVE-2015-3407
Джон Лайтси обнаружил, что Module::Signature некорректно обрабатывает файлы, не указанные в файле SIGNATURE. В число таких файлов могут входить некоторые файлы из каталога t/, которые могут быть выполнены во время запуска тестов.
- CVE-2015-3408
Джон Лайтси обнаружил, что Module::Signature использует вызовы open() с двумя аргументами для чтения файлов при создании контрольных сумм из подписанного файла manifest. Эта уязвимость позволяет встраивать произвольные команды командной оболочки в файл SIGNATURE, которые могут быть выполнены во время процесса проверки подписей.
- CVE-2015-3409
Джон Лайтси обнаружил, что Module::Signature некорректно обрабатывает загрузку модулей, позволяя загружать модули по относительным путям в @INC. Удалённый злоумышленник, предоставивший некорректный модуль, может использовать эту проблему для выполнения произвольного кода во время проверки подписей.
Заметьте, что пакет libtest-signature-perl был обновлён в целях обеспечения совместимости с исправлением CVE-2015-3407 в пакете libmodule-signature-perl.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.68-1+deb7u2.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.73-1+deb8u1.
В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 0.78-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.78-1.
Рекомендуется обновить пакеты libmodule-signature-perl.
- CVE-2015-3406