Säkerhetsbulletin från Debian

DSA-3261-1 libmodule-signature-perl -- säkerhetsuppdatering

Rapporterat den:
2015-05-15
Berörda paket:
libmodule-signature-perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 783451.
I Mitres CVE-förteckning: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409.
Ytterligare information:

Flera sårbarheter har upptäckts i libmodule-signature-perl, en Perlmodul för att manipulera CPAN SIGNATURE-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-3406

    John Lightsey upptäckte att Module::Signature kunde tolka den osignerade delen av en SIGNATURE-fil som den signerade delen på grund av felaktig hantering av PGP-signatursgränser.

  • CVE-2015-3407

    John Lightsey upptäckte att Module::Signature felaktigt hanterar filer som inte är listade i SIGNATURE-filen. Detta inkluderar några filer i mappen t/ som kom att köras när testerna körs.

  • CVE-2015-3408

    John Lightsey upptäckte att Module::Signature använder två argument open()-anrop för att läsa filerna vid generering av kontrollsummor från det signerade manifestet. Detta tillåter att bädda in godtyckliga skalkommandon i SIGNATURE-filen som kan köras under signaturverifikationsprocessen.

  • CVE-2015-3409

    John Lightsey upptäckte att Module::Signature felaktigt hanterar modulladdning, vilket tillåter att ladda moduler från relativa sökvägar i @INC. En fjärrangripare som tillhandahåller en illasinnad modul kunde använda detta problem för att köra godtycklig kod under signaturverifikation.

Notera att libtest-signature-perl fick en uppdatering för kompatibilitet med rättningen för CVE-2015-3407 i libmodule-signature-perl.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.68-1+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.73-1+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 0.78-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.78-1.

Vi rekommenderar att ni uppgraderar era libmodule-signature-perl-paket.