Debian DSA-3261-1:libmodule-signature-perl - 安全更新
high Nessus 插件 ID 83501
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
发现 libmodule-signature-perl(一个用于操纵 CPAN SIGNATURE 文件的 Perl 模块)中存在多种漏洞。通用漏洞和暴露计划识别以下问题:- CVE-2015-3406 John Lightsey 发现,由于未正确处理 PGP 签名边界,Module::Signature 可将 SIGNATURE 文件的未签名部分解析为已签名部分。
- CVE-2015-3407 John Lightsey 发现 Module::Signature 未正确处理没有在 SIGNATURE 文件中列出的文件。这包括 t/ 目录中某些会在运行测试时执行的文件。
- CVE-2015-3408 John Lightsey 发现,从已签名的清单中生成校验和时,Module::Signature 使用双参数 open() 调用来读取文件。这允许向将在签名验证流程期间执行的 SIGNATURE 文件中嵌入任意 shell 命令。
- CVE-2015-3409 John Lightsey 发现,Module::Signature 未正确处理模块加载,允许从 @INC 中的相对路径加载模块。提供恶意模块的远程攻击者可利用此问题在签名验证期间执行任意代码。
请注意,libtest-signature-perl 获得了更新,可与 libmodule-signature-perl 中的 CVE-2015-3407 的补丁兼容。
解决方案
升级 libmodule-signature-perl 程序包。对于旧稳定发行版本 (wheezy),已在版本 0.68-1+deb7u2 中修复这些问题。
对于稳定发行版本 (jessie),已在版本 0.73-1+deb8u1 中修复这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=783451
https://security-tracker.debian.org/tracker/CVE-2015-3406
https://security-tracker.debian.org/tracker/CVE-2015-3407
https://security-tracker.debian.org/tracker/CVE-2015-3408
https://security-tracker.debian.org/tracker/CVE-2015-3409
https://packages.debian.org/source/wheezy/libmodule-signature-perl
https://packages.debian.org/source/jessie/libmodule-signature-perl
插件详情
严重性: High
ID: 83501
文件名: debian_DSA-3261.nasl
版本: 2.7
类型: local
代理: unix
发布时间: 2015/5/18
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:libmodule-signature-perl, cpe:/o:debian:debian_linux:7.0, cpe:/o:debian:debian_linux:8.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2015/5/15
漏洞发布日期: 2015/5/19
参考资料信息
CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409
DSA: 3261