Säkerhetsbulletin från Debian
DSA-3261-1 libmodule-signature-perl -- säkerhetsuppdatering
- Rapporterat den:
- 2015-05-15
- Berörda paket:
- libmodule-signature-perl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 783451.
I Mitres CVE-förteckning: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409. - Ytterligare information:
-
Flera sårbarheter har upptäckts i libmodule-signature-perl, en Perlmodul för att manipulera CPAN SIGNATURE-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-3406
John Lightsey upptäckte att Module::Signature kunde tolka den osignerade delen av en SIGNATURE-fil som den signerade delen på grund av felaktig hantering av PGP-signatursgränser.
- CVE-2015-3407
John Lightsey upptäckte att Module::Signature felaktigt hanterar filer som inte är listade i SIGNATURE-filen. Detta inkluderar några filer i mappen t/ som kom att köras när testerna körs.
- CVE-2015-3408
John Lightsey upptäckte att Module::Signature använder två argument open()-anrop för att läsa filerna vid generering av kontrollsummor från det signerade manifestet. Detta tillåter att bädda in godtyckliga skalkommandon i SIGNATURE-filen som kan köras under signaturverifikationsprocessen.
- CVE-2015-3409
John Lightsey upptäckte att Module::Signature felaktigt hanterar modulladdning, vilket tillåter att ladda moduler från relativa sökvägar i @INC. En fjärrangripare som tillhandahåller en illasinnad modul kunde använda detta problem för att köra godtycklig kod under signaturverifikation.
Notera att libtest-signature-perl fick en uppdatering för kompatibilitet med rättningen för CVE-2015-3407 i libmodule-signature-perl.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.68-1+deb7u2.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.73-1+deb8u1.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 0.78-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.78-1.
Vi rekommenderar att ni uppgraderar era libmodule-signature-perl-paket.
- CVE-2015-3406