Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3261-1 libmodule-signature-perl

Säkerhetsbulletin från Debian

DSA-3261-1 libmodule-signature-perl -- säkerhetsuppdatering

Rapporterat den:

2015-05-15

Berörda paket:

libmodule-signature-perl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 783451.
I Mitres CVE-förteckning: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.

Ytterligare information:

Flera sårbarheter har upptäckts i libmodule-signature-perl, en Perlmodul för att manipulera CPAN SIGNATURE-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-3406

  John Lightsey upptäckte att Module::Signature kunde tolka den osignerade delen av en SIGNATURE-fil som den signerade delen på grund av felaktig hantering av PGP-signatursgränser.

• CVE-2015-3407

  John Lightsey upptäckte att Module::Signature felaktigt hanterar filer som inte är listade i SIGNATURE-filen. Detta inkluderar några filer i mappen t/ som kom att köras när testerna körs.

• CVE-2015-3408

  John Lightsey upptäckte att Module::Signature använder två argument open()-anrop för att läsa filerna vid generering av kontrollsummor från det signerade manifestet. Detta tillåter att bädda in godtyckliga skalkommandon i SIGNATURE-filen som kan köras under signaturverifikationsprocessen.

• CVE-2015-3409

  John Lightsey upptäckte att Module::Signature felaktigt hanterar modulladdning, vilket tillåter att ladda moduler från relativa sökvägar i @INC. En fjärrangripare som tillhandahåller en illasinnad modul kunde använda detta problem för att köra godtycklig kod under signaturverifikation.

Notera att libtest-signature-perl fick en uppdatering för kompatibilitet med rättningen för CVE-2015-3407 i libmodule-signature-perl.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.68-1+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.73-1+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 0.78-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.78-1.

Vi rekommenderar att ni uppgraderar era libmodule-signature-perl-paket.