GLSA-201111-09 : Perl Safe module: Arbitrary Perl code injection

high Nessus プラグイン ID 56905
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのGentooホストに1つ以上のセキュリティ関連のパッチがありません。

説明

リモートホストは、GLSA-201111-09 で説明されている脆弱性による影響を受けます(Perl Safe モジュール:任意の Perl コードのインジェクション)

安全でないコードの評価により、Safe モジュールが、暗黙的に影響を受けるオブジェクトへの暗黙的に呼び出されたメソッドのコードを適切に制限できなくなります。
影響:

リモートの攻撃者がユーザーを誘導して、特別に細工された Perl スクリプトをロードさせて、制限されたコンパートメントの外側で、任意の Perl コードの実行を引き起こす可能性があります。
回避策:

現時点では、既知の回避策はありません。

ソリューション

スタンドアロンPerl Safeモジュールの全ユーザーは、最新バージョンにアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=perl-core/Safe-2.27' PerlにバンドルされているSafeモジュールの全ユーザーは、最新バージョンにアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=virtual/perl-Safe-2.27'注:これはレガシー GLSA です。影響を受けるすべてのアーキテクチャの更新版が、2010 年 7 月 18 日以降に利用可能です。使用中のシステムは、もはやこの問題の影響を受けていない可能性が高いです。

関連情報

https://security.gentoo.org/glsa/201111-09

プラグインの詳細

深刻度: High

ID: 56905

ファイル名: gentoo_GLSA-201111-09.nasl

バージョン: 1.10

タイプ: local

公開日: 2011/11/22

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:2.3:o:gentoo:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:gentoo:linux:safe:*:*:*:*:*:*:*, p-cpe:2.3:a:gentoo:linux:perl-safe:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/11/20

参照情報

CVE: CVE-2010-1168

BID: 40302

GLSA: 201111-09