Debian DSA-3628-1：perl - セキュリティ更新

high Nessus プラグイン ID 92548

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Perl プログラミング言語の実装に、複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2016-1238 John Lightsey 氏と Todd Rinaldo 氏は、機に便乗してオプションのモジュールをロードすると、多くのプログラムに現在の作業ディレクトリ（ユーザーが気付かないまま別のディレクトリに変わる場合もある）から無意識にコードをロードさせることがあるため、権限昇格を引き起こす可能性があることを報告しました。これは、インストールされたパッケージをある程度組み合わせた Debian で実証されています。

この問題は、最後の要素が現在のディレクトリ（「.」）であるディレクトリ配列（「@INC」）から、Perl がモジュールをロードすることに関連しています。これはつまり、「perl」がモジュールをロードしたいとき（最初のコンパイル中またはランタイムのモジュールの遅延読み込み中）、「.」が求めるインクルードディレクトリの配列の最後のインクルードディレクトリであるため、perl は最後に現在のディレクトリのモジュールを探すことになります。この問題の原因は、「.」にあるが、そうでなければインストールされていないライブラリを必要としていることです。

この更新では、脆弱になることがわかっているいくつかのモジュールが、現在のディレクトリからモジュールをロードしないように更新されています。

さらに、この更新では、/etc/perl/sitecustomize.pl を構成して、移行期間に @INC から「.」を削除できるようにしています。ある特定のサイトで障害が起こり得ると評価されているならば、この設定を有効にすることを推奨します。Debian で提供されるパッケージで、@INC から「.」を削除することに切り替えた結果生じる問題は、[email protected] で Perl の保守管理者に報告する必要があります。

ポイントリリースを通じた perl に対する後続の更新で、可能であれば @INC の「.」をデフォルトで削除する設定にスイッチすることが計画されています。近日中に予定されている安定版（stable）リリース Debian 9（stretch）のいずれの場合でもこれは計画されています。

- CVE-2016-6185 Perl コードに C ライブラリを動的にロードするための Perl からのコアモジュールである XSLoader が、不適切な場所から共有ライブラリをロードする可能性があることが判明しました。XSLoader は、caller() 情報を使用して .so ファイルをロードする場所を決めます。文字列の評価で XSLoader::load() が呼び出される場合、これは正しくない可能性があります。攻撃者はこの欠陥を利用して、任意のコードを実行する可能性があります。

ソリューション

perl パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン 5.20.2-3+deb8u6 で修正されています。さらに、この更新には次の更新パッケージが含まれていて、CVE-2016-1238 に関連するオプションモジュールのロードの脆弱性に対処し、@INC から「.」が削除されたときに発生するビルドエラーにも対処します：

- cdbs 0.4.130+deb8u1
- debhelper 9.20150101+deb8u2

- devscripts 2.15.3+deb8u12

- exim4 4.84.2-2+deb8u12

- libintl-perl 1.23-1+deb8u12

- libmime-charset-perl 1.011.1-1+deb8u22

- libmime-encwords-perl 1.014.3-1+deb8u12

- libmodule-build-perl 0.421000-2+deb8u12

- libnet-dns-perl 0.81-2+deb8u12

- libsys-syslog-perl 0.33-1+deb8u12

- libunicode-linebreak-perl 0.0.20140601-2+deb8u22