Информация по безопасности / 2015 / Информация о безопасности -- DSA-3261-1 libmodule-signature-perl

Рекомендация Debian по безопасности

DSA-3261-1 libmodule-signature-perl -- обновление безопасности

Дата сообщения:

15.05.2015

Затронутые пакеты:

libmodule-signature-perl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 783451.
В каталоге Mitre CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.

Более подробная информация:

В libmodule-signature-perl, модуле Perl для работы с файлами CPAN SIGNATURE, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-3406

  Джон Лайтси обнаружил, что Module::Signature из-за некорректной обработки границ подписи PGP может выполнять грамматический разбор неподписанной части файла SIGNATURE как части подписанной.

• CVE-2015-3407

  Джон Лайтси обнаружил, что Module::Signature некорректно обрабатывает файлы, не указанные в файле SIGNATURE. В число таких файлов могут входить некоторые файлы из каталога t/, которые могут быть выполнены во время запуска тестов.

• CVE-2015-3408

  Джон Лайтси обнаружил, что Module::Signature использует вызовы open() с двумя аргументами для чтения файлов при создании контрольных сумм из подписанного файла manifest. Эта уязвимость позволяет встраивать произвольные команды командной оболочки в файл SIGNATURE, которые могут быть выполнены во время процесса проверки подписей.

• CVE-2015-3409

  Джон Лайтси обнаружил, что Module::Signature некорректно обрабатывает загрузку модулей, позволяя загружать модули по относительным путям в @INC. Удалённый злоумышленник, предоставивший некорректный модуль, может использовать эту проблему для выполнения произвольного кода во время проверки подписей.

Заметьте, что пакет libtest-signature-perl был обновлён в целях обеспечения совместимости с исправлением CVE-2015-3407 в пакете libmodule-signature-perl.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.68-1+deb7u2.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.73-1+deb8u1.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 0.78-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.78-1.

Рекомендуется обновить пакеты libmodule-signature-perl.