Debian DLA-320-1:libemail-address-perl 安全更新

high Nessus 插件 ID 86212

简介

远程 Debian 主机缺少安全更新。

描述

Pali Rohár 发现 [1] 使用 Email::Address Perl 模块解析电子邮件地址列表的字符串输入的任何软件中可能存在 DoS 攻击。

默认情况下,Email::Address 模块 v1.907 版(及所有更低版本)尝试理解深度级别为 2 的输入字符串中的可嵌套注释。

特别构建的输入可以让可嵌套注释的解析速度变得非常慢,并导致高 CPU 负载,冻结应用程序,最终造成拒绝服务。

因为 Email::Address 模块的输入字符串来自外部来源(如来自攻击者发送的电子邮件),所以这是影响使用 Email::Address Perl 模块解析电子邮件消息的所有软件应用程序的安全问题。

通过 libemail-address-perl 的此项上传,已将可嵌套注释的默认值设置为深度级别 1(上游推荐的深度级别)。请注意,这不是正确的补丁,只是对可嵌套注释的病态输入的变通方案。

[1] http://www.openwall.com/lists/oss-security/2015/09/27/1

注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的 libemail-address-perl 程序包。

另见

https://www.openwall.com/lists/oss-security/2015/09/27/1

https://lists.debian.org/debian-lts-announce/2015/09/msg00016.html

https://packages.debian.org/source/squeeze-lts/libemail-address-perl

插件详情

严重性: High

ID: 86212

文件名: debian_DLA-320.nasl

版本: 2.5

类型: local

代理: unix

发布时间: 2015/10/1

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libemail-address-perl, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2015/9/30