描述
perl-YAML-LibYAML 已更新到版本 0.59,修复了四个安全问题。
修复了这些安全问题:
- CVE-2013-6393:0.1.5 之前的 LibYAML 中 scanner.c 中的 yaml_parser_scan_tag_uri 函数执行错误的转换,这允许远程攻击者通过 YAML 文档中构建的可触发基于堆的缓冲区溢出的标记来造成拒绝服务(应用程序崩溃)并可能执行任意代码(bnc#860617、bnc#911782)。
- CVE-2012-1152:Perl 的 YAML::LibYAML(又称 YAML-LibYAML 和 perl-YAML-LibYAML)模块 0.38 中错误报告功能中的多种格式字符串漏洞允许远程攻击者通过 (1) Load 函数的 YAML 流、(2) load_node 函数的 YAML 节点、(3) 映射到 load_mapping 函数的 YAML 或 (4) load_sequence 函数的 YAML 序列中的格式字符串说明符来造成拒绝服务(进程崩溃)(bnc#751503)。
- CVE-2014-9130:Perl 的 YAML-LibYAML(又称 YAML-XS)模块中使用的 LibYAML 0.1.5 和 0.1.6 中的 scanner.c 允许上下文有关的攻击者通过与换行相关的矢量造成拒绝服务(断言失败和崩溃)(bnc#907809、bnc#911782)。
- CVE-2014-2525:0.1.6 之前版本的 LibYAML 中的 yaml_parser_scan_uri_escapes 函数存在基于堆的缓冲区溢出,允许上下文有关的攻击者通过 YAML 文件的 URI 中的百分号编码字符的长序列执行任意代码(bnc#868944、bnc#911782)。
已修复下列非安全性问题:
- PR/23 更好的标量转储启发
- 更紧密地匹配 YAML.pm
- 添加 VERSION 语句到 YAML::LibYAML (issue#8)
- 应用了针对 PR/21. nawglan++ 的补丁
- 在 doc 中使用 Swim cpan-tail 区块函数
- 使用最新的 libyaml 来获取 YAML::XS
- 针对 https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure 的补丁
- 修复 5.21.4 的 e1 测试失败
- 删除 =travis 部分
- Meta 0.0.2
- 消除虚假的末尾空白
- 添加 t/000-compile-modules.t
- 修复 swim 错误
- 添加徽标到 doc
- 修复 ReadMe
- 修复 Meta 并添加 Contributing。
- Doc 补丁。GitHub-Issue-#6。感谢 Debian Perl Group 发现此问题。
- Test::Base 测试需要 @INC 中的“inc”
- 切换到 Zilla::Dist
- Test::Base、Spiffy 和 Filter::Util::Call 时不再 dep
- 删除 test/changes.t
- 删除了另一个 C++ // 样式注释。jdb++
- 删除了 C++ // 样式注释以实现更好的可移植性。
jdb++
- 使用最新的 libyaml 代码库
- https://github.com/yaml/libyaml/tree/perl-yaml-xs
- 已进行变更以开始将 libyaml 移动到 1.2
解决方案
更新受影响的 perl-YAML-LibYAML 程序包。
插件详情
文件名: openSUSE-2015-162.nasl
代理: unix
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list