Debian DLA-320-1:libemail-address-perl セキュリティ更新
high Nessus プラグイン ID 86212
Language:
概要
リモートの Debian ホストにセキュリティ更新がありません。説明
Pali Rohr は、[1] 電子メールアドレスリストに対する文字列入力の解析を行うために Email::Address Perl モジュールを使用するソフトウェアに DoS 攻撃の可能性を発見しました。デフォルトで、バージョン v1.907(および以前のバージョン全て)の Email::Address モジュールは、深度レベル 2 の入力文字列のネスト化可能なコメントを理解しようとします。
特別に細工された入力がある場合、ネスト化可能なコメントの解析によって、速度が著しく低下し、CPU 負荷が高くなり、アプリケーションがフリーズし、その結果サービス拒否が発生する可能性があります。
Email::Address モジュールの入力文字列は外部ソース(例:攻撃者によって送信された電子メール)から来るため、これは、Email::Address Perl モジュールを使用する電子メールメッセージを解析する全てのソフトウェアアプリケーションに影響を与えるセキュリティ問題となっています。
libemail-address-perl のこの更新では、ネスト化可能なコメントのデフォルト値が、深度レベル 1(upstream による提案)に設定されています。注意:これは適切な修正ではなく、ネスト化可能なコメントを含む異常な入力に対する回避策です。
[1] http://www.openwall.com/lists/oss-security/2015/09/27/1
注:Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける libemail-address-perl パッケージをアップグレードしてください。参考資料
https://www.openwall.com/lists/oss-security/2015/09/27/1
https://lists.debian.org/debian-lts-announce/2015/09/msg00016.html
https://packages.debian.org/source/squeeze-lts/libemail-address-perl
プラグインの詳細
深刻度: High
ID: 86212
ファイル名: debian_DLA-320.nasl
バージョン: 2.5
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2015/10/1
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:libemail-address-perl, cpe:/o:debian:debian_linux:6.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
パッチ公開日: 2015/9/30