Debian DLA-264-1：libmodule-signature-perl セキュリティ更新

high Nessus プラグイン ID 84495

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

John Lightsey 氏が、CPAN SIGNATURE ファイルを操作する Perl モジュールである Module::Signature で複数の脆弱性を発見しました。
Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

CVE-2015-3406

Module::Signature が SIGNATURE ファイルの署名のない部分を署名済みの部分として解釈する可能性があります。これは、PGP 署名境界を間違って解析するためです。

CVE-2015-3407

Module::Signature が、SIGNATURE ファイルにリストされていないファイルを間違って処理していました。これには、テストが行われる場合に実行する、t/ ディレクトリのいくつかのファイルが含まれます。

CVE-2015-3408

Module::Signature は、署名済みのマニフェストからチェックサムを生成する際、ファイルの読み込みに 2 つの引数の open() 呼び出しを使用していました。これにより、任意のシェルコマンドを、署名認証プロセスで実行する際に、SIGNATURE ファイルに埋め込むことが可能になりました。

CVE-2015-3409

Module::Signature が間違ってモジュールの読み込みを処理していたので、@INC の相対パスからモジュールを読み込むことが可能でした。悪意のあるモジュールを提供しているリモートの攻撃者が、この問題を利用して、署名認証中に任意のコードを実行する可能性があります。

squeeze ディストリビューションでは、これらの問題は libmodule-signature-perl のバージョン 0.63-1+squeeze2 で修正されています。注意：libtest-signature-perl パッケージも、CVE-2015-3407 修正との互換性のために更新されました。

libmodule-signature-perl および libtest-signature-perl パッケージをアップグレードすることをお勧めします。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。