Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3628-1 perl

Säkerhetsbulletin från Debian

DSA-3628-1 perl -- säkerhetsuppdatering

Rapporterat den:

2016-07-25

Berörda paket:

perl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 829578.
I Mitres CVE-förteckning: CVE-2016-1238, CVE-2016-6185.

Ytterligare information:

Flera sårbarheter har upptäckts i implementationen av programmeringsspråket Perl. Projektet Common Vulnerabilities and Exposures project identifierar följande problem:

• CVE-2016-1238

  John Lightsey och Todd Rinaldo rapporterade att den opportunistiska laddningen av valfria moduler kan göra att många program laddar kod oavsiktligt från aktuell arbetskatalog (som kan ändras till en annan mapp utan att användaren noterar det) och potentiellt leda till utökning av privilegier, som har demonstrerats i Debian med vissa kombinationer av installerade paket.

  Problemet relaterar till hur Perl laddar moduler från mappmatrisen ("@INC") där det sista elementet är aktuell mapp ("."). Detta betyder att när perl vill ladda en modul (under första kompileringen eller under lat laddning av en modul under körtid), kommer perl att söka efter modulen i aktuell mapp på slutet, eftersom '.' är den sista inkluderade mappen i dess matris av inkluderade mappar att söka igenom. Problemet ligger i beroende på bibliotek som ligger i "." men som inte är installerade på annat vis.

  Med denna uppdatering rättas flera moduler som är kända att vara sårbara till att inte ladda moduler från aktuell mapp.

  Utöver detta tillåter uppdateringen konfigurerbar borttagning av "." från @INC i /etc/perl/sitecustomize.pl under en övergångsperiod. Det rekommenderas att aktivera denna inställning om det eventuella problematiken har evaluerats för en specifik sajt. Problem i paket som tillhandahålls av Debian som ett resultat av borttagningen av '.' från @INC bör rapporteras till de Perl-paketansvariga på perl@packages.debian.org .

  Det planeras att växla till standardborttagning av '.' i @INC i en kommande uppdatering av perl via en punktutgåva om möjligt, och i andra fall i den kommande stabila utgåvan Debian 9 (Stretch).

• CVE-2016-6185

  Man har upptäckt att XSLoader, en kärnmodul från Perl för att dynamiskt ladda C-bibliotek i Perl-kod, kunde ladda delade bibliotek från felaktiga positioner. XSLoader använder caller()-information för att lokalisera vilken .so-fil man skall ladda. Detta kan vara felaktigt om XSLoader::load() anropas från en strängevaluering. En angripare kan dra fördel av denna brist för att köra godtycklig kod.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 5.20.2-3+deb8u6. Utöver detta inkluderar denna uppdatering följande uppdaterade paket för att adressera frivillig modulladdningssårbarheter relaterade till CVE-2016-1238, eller för att adressera byggfel som kan ske när '.' tas bort från @INC:

• cdbs 0.4.130+deb8u1
• debhelper 9.20150101+deb8u2
• devscripts 2.15.3+deb8u12
• exim4 4.84.2-2+deb8u12
• libintl-perl 1.23-1+deb8u12
• libmime-charset-perl 1.011.1-1+deb8u22
• libmime-encwords-perl 1.014.3-1+deb8u12
• libmodule-build-perl 0.421000-2+deb8u12
• libnet-dns-perl 0.81-2+deb8u12
• libsys-syslog-perl 0.33-1+deb8u12
• libunicode-linebreak-perl 0.0.20140601-2+deb8u22

Vi rekommenderar att ni uppgraderar era perl-paket.