Debian DSA-3628-1:perl - 安全更新

high Nessus 插件 ID 92548

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在 Perl 编程语言的实现中发现多种漏洞。通用漏洞和暴露计划识别以下问题:

- CVE-2016-1238 John Lightsey 与 Todd Rinaldo 报告,机会性加载可选模块可使许多程序无意间从当前工作目录(其可能在用户不知情的情况下更改为其他目录)加载代码,并可能导致权限升级,这一点已由含有某些已安装程序包组合的 Debian 所证实。

此问题与 Perl 从包含目录数组 ('@INC') 中加载模块有关,其中的最后一个元素就是当前目录 ('.')。这表示“perl”想要加载模块(在运行时第一次编译或消极加载模块时)时,perl 会在末端的当前目录中查找模块,因为“.”是其要查找的包含目录数组中的最后一个包含目录。问题在于位于“.”中但未以其他方式安装的必要库。

通过此更新,已知受影响的多个模块会更新为不从当前目录加载模块。

此外,更新允许在转换期间从 /etc/perl/sitecustomize.pl 中的 @INC 对“.”进行可配置删除。如果已评估某个特定网站的潜在中断,建议启用此设置。在 Debian 中提供的程序包内,因切换至从 @INC 中删除“.”而导致的问题应向 Perl 维护人员报告,地址为 perl@packages.debian.org。

如果可能,计划在 perl 的后续更新中通过点版本切换为 @INC 中“.”的默认删除,而且在即将发行的稳定版本 Debian 9 (stretch) 中一定会切换。

- CVE-2016-6185 已发现用于将 C 库动态加载 Perl 代码的 Perl 内核模块 XSLoader 可能从不正确的位置加载共享代码。XSLoader 使用 caller() 信息来查找要加载的 .so 文件。如果在字符串 eval 中调用 XSLoader::load(),这可能会不正确。攻击者可利用此缺陷执行任意代码。

解决方案

升级 perl 程序包。

对于稳定发行版本 (jessie),已在版本 5.20.2-3+deb8u6 中修复这些问题。此外,此更新包含以下更新后的程序包,以解决与 CVE-2016-1238 有关的可选模块加载漏洞,或解决当从 @INC 删除“.”时发生的构建失败:

- cdbs 0.4.130+deb8u1
- debhelper 9.20150101+deb8u2

- devscripts 2.15.3+deb8u12

- exim4 4.84.2-2+deb8u12

- libintl-perl 1.23-1+deb8u12

- libmime-charset-perl 1.011.1-1+deb8u22

- libmime-encwords-perl 1.014.3-1+deb8u12

- libmodule-build-perl 0.421000-2+deb8u12

- libnet-dns-perl 0.81-2+deb8u12

- libsys-syslog-perl 0.33-1+deb8u12

- libunicode-linebreak-perl 0.0.20140601-2+deb8u22

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=829578

https://security-tracker.debian.org/tracker/CVE-2016-1238

https://security-tracker.debian.org/tracker/CVE-2016-6185

https://packages.debian.org/source/jessie/perl

https://www.debian.org/security/2016/dsa-3628

插件详情

严重性: High

ID: 92548

文件名: debian_DSA-3628.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2016/7/26

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:perl, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2016/7/25

漏洞发布日期: 2016/8/2

参考资料信息

CVE: CVE-2016-1238, CVE-2016-6185

DSA: 3628