检测

openSUSE 安全更新:perl-YAML-LibYAML (openSUSE-2015-162)

medium Nessus 插件 ID 81417

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

perl-YAML-LibYAML 已更新到版本 0.59,修复了四个安全问题。

修复了这些安全问题:

- CVE-2013-6393:0.1.5 之前的 LibYAML 中 scanner.c 中的 yaml_parser_scan_tag_uri 函数执行错误的转换,这允许远程攻击者通过 YAML 文档中构建的可触发基于堆的缓冲区溢出的标记来造成拒绝服务(应用程序崩溃)并可能执行任意代码(bnc#860617、bnc#911782)。

- CVE-2012-1152:Perl 的 YAML::LibYAML(又称 YAML-LibYAML 和 perl-YAML-LibYAML)模块 0.38 中错误报告功能中的多种格式字符串漏洞允许远程攻击者通过 (1) Load 函数的 YAML 流、(2) load_node 函数的 YAML 节点、(3) 映射到 load_mapping 函数的 YAML 或 (4) load_sequence 函数的 YAML 序列中的格式字符串说明符来造成拒绝服务(进程崩溃)(bnc#751503)。

- CVE-2014-9130:Perl 的 YAML-LibYAML(又称 YAML-XS)模块中使用的 LibYAML 0.1.5 和 0.1.6 中的 scanner.c 允许上下文有关的攻击者通过与换行相关的矢量造成拒绝服务(断言失败和崩溃)(bnc#907809、bnc#911782)。

- CVE-2014-2525:0.1.6 之前版本的 LibYAML 中的 yaml_parser_scan_uri_escapes 函数存在基于堆的缓冲区溢出,允许上下文有关的攻击者通过 YAML 文件的 URI 中的百分号编码字符的长序列执行任意代码(bnc#868944、bnc#911782)。

已修复下列非安全性问题:

- PR/23 更好的标量转储启发

- 更紧密地匹配 YAML.pm

- 添加 VERSION 语句到 YAML::LibYAML (issue#8)

- 应用了针对 PR/21. nawglan++ 的补丁

- 在 doc 中使用 Swim cpan-tail 区块函数

- 使用最新的 libyaml 来获取 YAML::XS

- 针对 https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure 的补丁

- 修复 5.21.4 的 e1 测试失败

- 删除 =travis 部分

- Meta 0.0.2

- 消除虚假的末尾空白

- 添加 t/000-compile-modules.t

- 修复 swim 错误

- 添加徽标到 doc

- 修复 ReadMe

- 修复 Meta 并添加 Contributing。

- Doc 补丁。GitHub-Issue-#6。感谢 Debian Perl Group 发现此问题。

- Test::Base 测试需要 @INC 中的“inc”

- 切换到 Zilla::Dist

- Test::Base、Spiffy 和 Filter::Util::Call 时不再 dep

- 删除 test/changes.t

- 删除了另一个 C++ // 样式注释。jdb++

- 删除了 C++ // 样式注释以实现更好的可移植性。
 jdb++

- 使用最新的 libyaml 代码库

- https://github.com/yaml/libyaml/tree/perl-yaml-xs

- 已进行变更以开始将 libyaml 移动到 1.2

解决方案

更新受影响的 perl-YAML-LibYAML 程序包。

另见

http://www.nessus.org/u?82d71510

https://bugzilla.opensuse.org/show_bug.cgi?id=751503

https://bugzilla.opensuse.org/show_bug.cgi?id=860617

https://bugzilla.opensuse.org/show_bug.cgi?id=868944

https://bugzilla.opensuse.org/show_bug.cgi?id=907809

https://bugzilla.opensuse.org/show_bug.cgi?id=911782

https://github.com/yaml/libyaml/tree/perl-yaml-xs

插件详情

严重性: Medium

ID: 81417

文件名: openSUSE-2015-162.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2015/2/20

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2015/2/11

参考资料信息

CVE: CVE-2012-1152, CVE-2013-6393, CVE-2014-2525, CVE-2014-9130