Debian dla-4120：libnet-easytcp-perl - 安全性更新

medium Nessus Plugin ID 233998

語言:

概要

遠端 Debian 主機缺少安全性相關更新。

說明

遠端 Debian 11 主機安裝了一個受到 dla-4120 公告中所提及的一個弱點影響的套件。

- ------------------------------------------------- ------------------------------------ Debian LTS 公告 DLA-4120-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 4 月 8 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

套件：libnet-easytcp-perl 版本：0.26-6+deb11u1 CVE ID： CVE-2024-56830

Net::EasyTCP Perl 模組包含需要安全亂數產生器的加密功能。在 0.26版及其之前的版本中，此模組會使用無任何此類保證的亂數產生器。
這是因為其依賴 Crypt::Random (Debian 中沒有的 Perl 模組)，並回復為使用不安全的 rand() 內建程式，因此只有極少數已安裝 Crypt::Random 的使用者CPAN 的亂數產生器使用了適當的亂數產生器。

針對 Debian 11 Bullseye，此問題已在 0.26-6+deb11u1 版本中修正。rand() 的遞補已移除，模組將使用 Bytes::Random::Secure 來取得已設為強制相依性的亂數。在不太可能發生的情況下，仍然無法使用 Bytes::Random::Secure (例如手動移除)，Net::EasyTCP 將會損毀，而非使用不安全的亂數產生器。

建議您升級 libnet-easytcp-perl 套件。

如需 libnet-easytcp-perl 的詳細安全性狀態，請參閱其安全性追踪頁面，網址為：
https://security-tracker.debian.org/tracker/libnet-easytcp-perl

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱:https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。