Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3628-1 perl

Debians sikkerhedsbulletin

DSA-3628-1 perl -- sikkerhedsopdatering

Rapporteret den:

25. jul 2016

Berørte pakker:

perl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 829578.
I Mitres CVE-ordbog: CVE-2016-1238, CVE-2016-6185.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i implementeringen af programmeringssproget Perl. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-1238

  John Lightsey og Todd Rinaldo rapporterede at den opportunistiske indlæsning af valgfrie moduler, kunne få mange program til at utilsigtet at indlæse kode fra en aktuelle arbejdsmappe (som kan ændres til en anden mappe uden at brugeren er opmærksom på det) og potentielt føre til rettighedsforøgelse, som demonstreret i Debian med visse kombinationer af installerede pakker.

  Problemet er relateret til Perls indlæsning af moduler fra includes-mappearrayet ("@INC"), hvor det sidste element er den aktuelle mappe (.). Det betyder at når perl ønsker at indlæse et modul (under firste kompilering eller under doven indlæsning af et modul på kørselstidspunktet), kigger perl til sidst efter modulet i den aktuelle mappe, da . er den sidst medtagne mappe i dens array bestående af indclude-mapper, som skal gennemsøges. Problemet drejer sig om at kræve biblioteker i ., men som ellers ikke er installeret.

  Med denne opdatering opdateres flere moduler, hvor det er kendt at de er sårbare, til ikke at indlæse moduler fra den aktuelle mappe.

  Desuden tillader denne opdatering, at man via opsætningen kan fjerne . fra @INC i /etc/perl/sitecustomize.pl i en overgangsperiode. Det anbefales at aktivere indstilling, hvis man har vurderet hvorvidt det vil påvirke kørende sites. Problemer i pakkerne som leveres via Debian, som følge af indstillingen til at fjerne . fra @INC, skal rapporteres til Perl-vedligeholderne på perl@packages.debian.org .

  Det er planlagt at skifte tli som standard at fjerne . i @INC i en efterfølgende opdatering af perl gennem en punktopdatering, om muligt, og i hvert fald i den kommende stabile udgave, Debian 9 (stretch).

• CVE-2016-6185

  Man opdagede at XSLoader, et kernemodul i Perl til dynamisk indlæsning af C-biblioteker i Perl-kode, kunne indlæse delte biblioteker fra ukorrekte placeringer. XSLoader anvender caller()-oplysninger til at finde .so-filen, der skal indlæses. Det kan være forkert, hvis XSLoader::load() kaldes i en streng-eval. En angriber kunne drage nytte af fejlen til at udføre vilkårlig kode.

I den stabile distribution (jessie), er disse problemer rettet i version 5.20.2-3+deb8u6. Desuden indeholder denne opdatering følgende opdaterede pakker til løsning af valgfri modulindlæsningssårbarhederne med relation til CVE-2016-1238, eller til løsning af opbygningsfejl, der opstår når . fjernes fra @INC:

• cdbs 0.4.130+deb8u1
• debhelper 9.20150101+deb8u2
• devscripts 2.15.3+deb8u12
• exim4 4.84.2-2+deb8u12
• libintl-perl 1.23-1+deb8u12
• libmime-charset-perl 1.011.1-1+deb8u22
• libmime-encwords-perl 1.014.3-1+deb8u12
• libmodule-build-perl 0.421000-2+deb8u12
• libnet-dns-perl 0.81-2+deb8u12
• libsys-syslog-perl 0.33-1+deb8u12
• libunicode-linebreak-perl 0.0.20140601-2+deb8u22

Vi anbefaler at du opgraderer dine perl-pakker.