检测

Debian DLA-264-1:libmodule-signature-perl 安全更新

high Nessus 插件 ID 84495

语言:

简介

远程 Debian 主机缺少安全更新。

描述

John Lightsey 发现 Module::Signature 中的多种漏洞,Module::Signature 是用来操纵 CPAN SIGNATURE 文件的一个 Perl 模块。
通用漏洞和暴露计划识别以下问题:

CVE-2015-3406

由于未正确处理 PGP 签名边界,Module::Signature 可将 SIGNATURE 文件的未签名部分解析为签名部分。

CVE-2015-3407

Module::Signature 未正确处理 SIGNATURE 文件中未列出的文件。这包括 t/ 目录中某些会在运行测试时执行的文件。

CVE-2015-3408

从已签名的清单中生成校验和时,Module::Signature 使用双参数 open() 调用来读取文件。这允许向将在签名验证流程期间执行的 SIGNATURE 文件中嵌入任意 shell 命令。

CVE-2015-3409

Module::Signature 未正确处理模块加载,允许从 @INC 中的相对路径加载模块。提供恶意模块的远程攻击者可利用此问题在签名验证期间执行任意代码。

对于 squeeze 发行版本,已在 libmodule-signature-perl 的版本 0.63-1+squeeze2 中修复这些问题。请注意,libtest-signature-perl 程序包也会更新以实现与 CVE-2015-3407 补丁的兼容性。

我们建议您升级 libmodule-signature-perl 和 libtest-signature-perl 程序包。

注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的 libmodule-signature-perl 程序包。

另见

https://lists.debian.org/debian-lts-announce/2015/07/msg00001.html

http://www.nessus.org/u?84a28e43

插件详情

严重性: High

ID: 84495

文件名: debian_DLA-264.nasl

版本: 2.6

类型: local

代理: unix

发布时间: 2015/7/2

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libmodule-signature-perl, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2015/7/1

漏洞发布日期: 2015/5/19

参考资料信息

CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409

BID: 73935, 73937