偵測

openSUSE 安全性更新:perl-YAML-LibYAML (openSUSE-2015-162)

medium Nessus Plugin ID 81417

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

perl-YAML-LibYAML 已更新至 0.59 版,可修正四個安全性問題。

已修正這些安全性問題:

- CVE-2013-6393:在 0.1.5 版以前的 LibYAML 中,scanner.c 的 yaml_parser_scan_tag_uri 函式會執行錯誤的轉換,讓遠端攻擊者得以透過 YAML 文件中的特製標籤,造成拒絕服務 (應用程式損毀) 並可能執行任意程式碼,進而觸發堆積型緩衝區溢位 (bnc#860617、bnc#911782)。

- CVE-2012-1152:在 Perl 的 YAML::LibYAML (即 YAML-LibYAML 和 perl-YAML-LibYAML) 模組 0.38 中,錯誤報告功能的多個格式字串弱點會讓遠端攻擊者得以透過 (1) [載入] 功能的 YAML 資料流、(2) load_node 函式的 YAML 節點、(3) load_mapping 函式的 YAML 對應或 (4) load_sequence 函式的 YAML 序列中的格式字串指定名稱,造成拒絕服務 (處理程序損毀) (bnc#751503)。

- CVE-2014-9130:適用於 Perl 的 YAML-LibYAML (亦即 YAML-XS) 模組所使用的 LibYAML 0.1.5 和 0.1.6 版中,scanner.c 允許內容相依的攻擊者透過涉及換行的向量來造成拒絕服務 (宣告失敗和當機) (bnc#907809、bnc#911782)。

- CVE-2014-2525:在 0.1.6 版之前的 LibYAML 中,yaml_parser_scan_uri_escapes 函式的堆積型緩衝區溢位,會允許內容相依的攻擊者透過 YAML 檔案中 URI 的百分比編碼字元長序列來執行任意程式碼 (bnc#868944、bnc#911782)。

已修正下列非安全性錯誤:

- PR/23 更完善的純量轉儲存啟發學習法

- 更加符合 YAML.pm

- 新增 VERSION 陳述式至 YAML::LibYAML (issue#8)

- 套用 PR/21 的修正。nawglan++

- 在 doc 中使用 Swim cpan-tail 區塊函式

- 使用最新的 libyaml 取得 YAML::XS

- https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure 的修正

- 修正 5.21.4 的 e1 測試失敗

- 移除 =travis 區段

- Meta 0.0.2

- 移除假性結尾空格

- 新增 t/000-compile-modules.t

- 修正 swim 錯誤

- 新增徽章至 doc

- 修正 ReadMe

- 修正 Meta 並新增 Contributing。

- Doc 修正。GitHub-Issue-#6。感謝 Debian Perl Group 發現。

- Test::Base 測試需要 @INC 中的 ‘inc’

- 切換至 Zilla::Dist

- Test::Base、Spiffy 和 Filter::Util::Call 上不再有 dep

- 移除 test/changes.t

- 移除 another C++ // 樣式註解。jdb++

- 移除 C++ // 樣式註解以提高可攜性。
 jdb++

- 使用最新的 libyaml 程式碼基底

- https://github.com/yaml/libyaml/tree/perl-yaml-xs

- 目前已進行變更,開始將 libyaml 移至 1.2

解決方案

更新受影響的 perl-YAML-LibYAML 套件。

另請參閱

http://www.nessus.org/u?82d71510

https://bugzilla.opensuse.org/show_bug.cgi?id=751503

https://bugzilla.opensuse.org/show_bug.cgi?id=860617

https://bugzilla.opensuse.org/show_bug.cgi?id=868944

https://bugzilla.opensuse.org/show_bug.cgi?id=907809

https://bugzilla.opensuse.org/show_bug.cgi?id=911782

https://github.com/yaml/libyaml/tree/perl-yaml-xs

Plugin 詳細資訊

嚴重性: Medium

ID: 81417

檔案名稱: openSUSE-2015-162.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2015/2/20

已更新: 2021/1/19

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2015/2/11

參考資訊

CVE: CVE-2012-1152, CVE-2013-6393, CVE-2014-2525, CVE-2014-9130