Fedora 21 : perl-Module-Signature-0.78-1.fc21 / perl-Test-Signature-1.11-1.fc21 (2015-5833)
high Nessus Plugin ID 82886
語系:
概要
遠端 Fedora 主機缺少一個或多個安全性更新。說明
此更新可解決 perl-Module-Signature 中多種安全性問題,如下文所述。預設行為也已變更,現可忽略任何 MANIFEST.SKIP 檔案,除非已先指定‘skip’參數。此更新隨附更新版 perl-Test-Signature,其已變更預設行為。
安全性問題:
- 由於 0.75 版之前的 Module::Signature 錯誤剖析 PGP 簽署邊界,因而可能遭到誘騙,而將 SIGNATURE 檔案中未簽署的部分視為已簽署的部分。
- 驗證 CPAN 模組中的內容時,0.75 版之前的 Module::Signature 對於簽署檔案中未列出的已擷取 tarball,會忽略其中的部分檔案。這包括在‘make test’期間會自動執行之 t/ 目錄中的某些檔案。
- 0.75 版之前的 Module::Signature 從已簽署的資訊清單產生總和檢查碼時,會使用兩個引數 open() 呼叫來讀取檔案。這會允許將任意 shell 命令內嵌至會在簽章驗證處理程序期間執行的 SIGNATURE 檔案。
- 0.75 版之前的 Module::Signature 會在運行時間,一直將數個模組載入已擷取的模組目錄中。Text::Diff 等模組不保證在所有平台上均會提供,其可新增至惡意模組,進而從 @INC 中的「.」路徑載入。
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 perl-Module-Signature 和/或 perl-Test-Signature 套件。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=1209911
https://bugzilla.redhat.com/show_bug.cgi?id=1209915
https://bugzilla.redhat.com/show_bug.cgi?id=1209917
https://bugzilla.redhat.com/show_bug.cgi?id=1209918
Plugin 詳細資訊
嚴重性: High
ID: 82886
檔案名稱: fedora_2015-5833.nasl
版本: 1.4
類型: local
代理程式: unix
已發布: 2015/4/20
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:perl-module-signature, p-cpe:/a:fedoraproject:fedora:perl-test-signature, cpe:/o:fedoraproject:fedora:21
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
修補程式發佈日期: 2015/4/9
參考資訊
FEDORA: 2015-5833