Mandriva Linux 安全性公告:perl-Module-Signature (MDVSA-2015:207)

high Nessus Plugin ID 83099

Synopsis

遠端 Mandriva Linux 主機缺少安全性更新。

描述

更新版 perl-Module-Signature 套件修正了下列由 John Lightsey 報告的安全性弱點:

Module::Signature 可能會遭到誘騙,而將 SIGNATURE 檔案中未簽署的部分解譯已簽署的部分,這是因為錯誤剖析 PGP 簽署邊界所導致。

在驗證 CPAN 模組中的內容時,Module::Signature 對於簽署檔案中未列出的已擷取 tarball,會忽略其中的部分檔案。這包括在執行測試期間會自動執行之 t/ 目錄中的某些檔案

從已簽署的資訊清單產生總和檢查碼時,Module::Signature 使用兩個引數 open() 呼叫讀取檔案。這會允許將任意 shell 命令內嵌至會在簽章驗證處理程序期間執行的 SIGNATURE 檔案。

數個模組在運行時間載入已擷取的模組目錄內。Text::Diff 等模組不保證可以在所有平台上提供使用,且可新增至惡意模組,以便從 \@INC 中的「.」路徑載入。

解決方案

更新受影響的 perl-Module-Signature 套件。

另請參閱

http://advisories.mageia.org/MGASA-2015-0160.html

Plugin 詳細資訊

嚴重性: High

ID: 83099

檔案名稱: mandriva_MDVSA-2015-207.nasl

版本: 2.7

類型: local

已發布: 2015/4/28

已更新: 2021/1/14

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:perl-Module-Signature, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/4/27

參考資訊

CVE: CVE-2015-3406, CVE-2015-3407, CVE-2015-3408, CVE-2015-3409

BID: 73935, 73937

MDVSA: 2015:207