Debian DLA-584-1：libsys-syslog-perl セキュリティ更新

high Nessus プラグイン ID 92727

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

John Lightsey 氏と Todd Rinaldo 氏は、機に便乗してオプションのモジュールをロードすると、多くのプログラムに現在の作業ディレクトリ（ユーザーが気付かないまま別のディレクトリに変わる場合もある）から無意識にコードをロードさせることがあるため、権限昇格を引き起こす可能性があることを報告しました。これは、インストールされたパッケージをある程度組み合わせた Debian で実証されています。

この問題は、最後の要素が現在のディレクトリ（「.」）であるディレクトリ配列（「@INC」）から、Perl がモジュールをロードすることに関連しています。これはつまり、「perl」がモジュールをロードしたいとき（最初のコンパイル中またはランタイムのモジュールの遅延読み込み中）、「.」が求めるインクルードディレクトリの配列の最後のインクルードディレクトリであるため、perl は最後に現在のディレクトリのモジュールを探すことになります。この問題の原因は、「.」にあるが、そうでなければインストールされていないライブラリを必要としていることです。

この更新により、Sys::Syslog Perl モジュールが更新され、カレントディレクトリからモジュールがロードされないようになりました。

Debian 7「Wheezy」では、これらの問題はバージョン 0.29-1+deb7u1 で修正されました。

libsys-syslog-perl パッケージをアップグレードすることを推奨します。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。