Debian DSA-3261-1：libmodule-signature-perl - セキュリティ更新

high Nessus プラグイン ID 83501

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

CPAN SIGNATURE ファイルを操作する Perl モジュールである libmodule-signature-perl に複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2015-3406 John Lightsey 氏は、PGP 署名境界の処理が不適切なため、Module::Signature が SIGNATURE ファイルの署名のない部分を署名済みの部分として解析する可能性があることを発見しました。

- CVE-2015-3407 John Lightsey 氏は、Module::Signature が SIGNATURE ファイルにリストされていないファイルを不適切に処理していることを発見しました。これには、テストが行われる場合に実行する、t/ ディレクトリのいくつかのファイルが含まれます。

- CVE-2015-3408 John Lightsey 氏は、Module::Signature が、署名済みのマニフェストからチェックサムを生成する際、ファイルの読み込みに 2 つの引数の open() 呼び出しを使用していることを発見しました。これにより、任意のシェルコマンドを SIGNATURE ファイルに埋め込むことが可能になります。これは、署名認証プロセスで実行されます。

- CVE-2015-3409 John Lightsey 氏は、Module::Signature がモジュールの読み込みを不適切に処理するため、@INC の相対パスからモジュールが読み込まれる可能性があることを発見しました。悪意のあるモジュールを提供しているリモートの攻撃者が、この問題を利用して、署名認証中に任意のコードを実行する可能性があります。

注意：libtest-signature-perl は、libmodule-signature-perl の CVE-2015-3407 の修正との互換性を保持するために更新を受け取ります。

ソリューション

libmodule-signature-perl パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション (wheezy) では、これらの問題はバージョン 0.68-1+deb7u2 で修正されています。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン0.73-1+deb8u1 で修正されています。