Debian DSA-3628-1：perl - 安全更新

high Nessus 插件 ID 92548

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在 Perl 编程语言的实现中发现多种漏洞。通用漏洞和暴露计划识别以下问题：

- CVE-2016-1238 John Lightsey 与 Todd Rinaldo 报告，机会性加载可选模块可使许多程序无意间从当前工作目录（其可能在用户不知情的情况下更改为其他目录）加载代码，并可能导致权限升级，这一点已由含有某些已安装程序包组合的 Debian 所证实。

此问题与 Perl 从包含目录数组 ('@INC') 中加载模块有关，其中的最后一个元素就是当前目录 ('.')。这表示“perl”想要加载模块（在运行时第一次编译或消极加载模块时）时，perl 会在末端的当前目录中查找模块，因为“.”是其要查找的包含目录数组中的最后一个包含目录。问题在于位于“.”中但未以其他方式安装的必要库。

通过此更新，已知受影响的多个模块会更新为不从当前目录加载模块。

此外，更新允许在转换期间从 /etc/perl/sitecustomize.pl 中的 @INC 对“.”进行可配置删除。如果已评估某个特定网站的潜在中断，建议启用此设置。在 Debian 中提供的程序包内，因切换至从 @INC 中删除“.”而导致的问题应向 Perl 维护人员报告，地址为 perl@packages.debian.org。

如果可能，计划在 perl 的后续更新中通过点版本切换为 @INC 中“.”的默认删除，而且在即将发行的稳定版本 Debian 9 (stretch) 中一定会切换。

- CVE-2016-6185 已发现用于将 C 库动态加载 Perl 代码的 Perl 内核模块 XSLoader 可能从不正确的位置加载共享代码。XSLoader 使用 caller() 信息来查找要加载的 .so 文件。如果在字符串 eval 中调用 XSLoader::load()，这可能会不正确。攻击者可利用此缺陷执行任意代码。

解决方案

升级 perl 程序包。

对于稳定发行版本 (jessie)，已在版本 5.20.2-3+deb8u6 中修复这些问题。此外，此更新包含以下更新后的程序包，以解决与 CVE-2016-1238 有关的可选模块加载漏洞，或解决当从 @INC 删除“.”时发生的构建失败：

- cdbs 0.4.130+deb8u1
- debhelper 9.20150101+deb8u2

- devscripts 2.15.3+deb8u12

- exim4 4.84.2-2+deb8u12

- libintl-perl 1.23-1+deb8u12

- libmime-charset-perl 1.011.1-1+deb8u22

- libmime-encwords-perl 1.014.3-1+deb8u12

- libmodule-build-perl 0.421000-2+deb8u12

- libnet-dns-perl 0.81-2+deb8u12

- libsys-syslog-perl 0.33-1+deb8u12

- libunicode-linebreak-perl 0.0.20140601-2+deb8u22