說明
perl-YAML-LibYAML 已更新至 0.59 版,可修正四個安全性問題。
已修正這些安全性問題:
- CVE-2013-6393:在 0.1.5 版以前的 LibYAML 中,scanner.c 的 yaml_parser_scan_tag_uri 函式會執行錯誤的轉換,讓遠端攻擊者得以透過 YAML 文件中的特製標籤,造成拒絕服務 (應用程式損毀) 並可能執行任意程式碼,進而觸發堆積型緩衝區溢位 (bnc#860617、bnc#911782)。
- CVE-2012-1152:在 Perl 的 YAML::LibYAML (即 YAML-LibYAML 和 perl-YAML-LibYAML) 模組 0.38 中,錯誤報告功能的多個格式字串弱點會讓遠端攻擊者得以透過 (1) [載入] 功能的 YAML 資料流、(2) load_node 函式的 YAML 節點、(3) load_mapping 函式的 YAML 對應或 (4) load_sequence 函式的 YAML 序列中的格式字串指定名稱,造成拒絕服務 (處理程序損毀) (bnc#751503)。
- CVE-2014-9130:適用於 Perl 的 YAML-LibYAML (亦即 YAML-XS) 模組所使用的 LibYAML 0.1.5 和 0.1.6 版中,scanner.c 允許內容相依的攻擊者透過涉及換行的向量來造成拒絕服務 (宣告失敗和當機) (bnc#907809、bnc#911782)。
- CVE-2014-2525:在 0.1.6 版之前的 LibYAML 中,yaml_parser_scan_uri_escapes 函式的堆積型緩衝區溢位,會允許內容相依的攻擊者透過 YAML 檔案中 URI 的百分比編碼字元長序列來執行任意程式碼 (bnc#868944、bnc#911782)。
已修正下列非安全性錯誤:
- PR/23 更完善的純量轉儲存啟發學習法
- 更加符合 YAML.pm
- 新增 VERSION 陳述式至 YAML::LibYAML (issue#8)
- 套用 PR/21 的修正。nawglan++
- 在 doc 中使用 Swim cpan-tail 區塊函式
- 使用最新的 libyaml 取得 YAML::XS
- https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure 的修正
- 修正 5.21.4 的 e1 測試失敗
- 移除 =travis 區段
- Meta 0.0.2
- 移除假性結尾空格
- 新增 t/000-compile-modules.t
- 修正 swim 錯誤
- 新增徽章至 doc
- 修正 ReadMe
- 修正 Meta 並新增 Contributing。
- Doc 修正。GitHub-Issue-#6。感謝 Debian Perl Group 發現。
- Test::Base 測試需要 @INC 中的 ‘inc’
- 切換至 Zilla::Dist
- Test::Base、Spiffy 和 Filter::Util::Call 上不再有 dep
- 移除 test/changes.t
- 移除 another C++ // 樣式註解。jdb++
- 移除 C++ // 樣式註解以提高可攜性。
jdb++
- 使用最新的 libyaml 程式碼基底
- https://github.com/yaml/libyaml/tree/perl-yaml-xs
- 目前已進行變更,開始將 libyaml 移至 1.2
解決方案
更新受影響的 perl-YAML-LibYAML 套件。
Plugin 詳細資訊
檔案名稱: openSUSE-2015-162.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu