Mandriva Linux セキュリティアドバイザリ:perl-Module-Signature(MDVSA-2015:207)
high Nessus プラグイン ID 83099
Language:
概要
リモート Mandriva Linux ホストにセキュリティ更新がありません。説明
更新された perl-Module-Signature のパッケージは、John Lightsey 氏によって報告された以下のセキュリティ脆弱性を修正します:Module::Signature が騙され、SIGNATURE ファイルの署名のない部分を署名済みの部分として解釈する可能性があります。これは、PGP 署名境界を間違って解析するために発生します。
CPAN モジュールのコンテンツを検証する際、Module::Signature が、抽出された tarball の中で署名ファイルにリストアップされていないいくつかのファイルを無視しました。これには、make test 中に自動的に実行する t/ ディレクトリのいくつかのファイルが含まれます。
署名済みのマニフェストからチェックサムを生成する際、Module::Signature はファイルの読み込みに 2 つの引数の open() 呼び出しを使用しました。これにより、任意のシェルコマンドを、署名認証プロセスで実行する際に、 SIGNATURE ファイルに埋め込むことが可能になりました。
抽出されたモジュールディレクトリ内で、runtime 時にいくつかのモジュールを読み込んでいました。Text::Diff のようなモジュールは、すべてのプラットフォームで利用できるとは限りません。また、\@INC の中の「.」パスから読み込みできるように悪意あるモジュールに追加される可能性があります
ソリューション
影響を受ける perl-Module-Signature パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 83099
ファイル名: mandriva_MDVSA-2015-207.nasl
バージョン: 2.7
タイプ: local
公開日: 2015/4/28
更新日: 2021/1/14
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:perl-module-signature, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/4/27
参照情報
CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409
MDVSA: 2015:207