Debian DLA-320-1:libemail-address-perl 安全性更新
high Nessus Plugin ID 86212
語系:
概要
遠端 Debian 主機缺少一個安全性更新。說明
Pali Rohár 發現 [1] 在使用 Email::Address Perl 模組將字串輸入剖析至電子郵件地址清單的任何軟體中皆有可能發生 DoS 攻擊。依預設,v1.907 版本 (及所有之前版本) 的 Email::Address 模組會嘗試瞭解深度層級為 2 之輸入字串中的可嵌套註解。
在特製的輸入之下,剖析可嵌套註解會變得太慢,並可造成高 CPU 負載、凍結應用程式,並因拒絕服務而結束。
由於 Email::Address 模組的輸入字串來自外部來源 (例如來自攻擊者傳送的電子郵件),因此這是一個影響所有軟體應用程式的安全性問題,其會使用 Email::Address Perl 模組剖析電子郵件訊息。
透過此 libemail-address-perl 上傳,可嵌套註解的預設值已設定為深度層級 1 (如上游所建議)。請注意,這並不是一個適當的修正,而只是一個具有可嵌套註解之病態輸入的的因應措施。
[1] http://www.openwall.com/lists/oss-security/2015/09/27/1
注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
升級受影響的 libemail-address-perl 套件。另請參閱
https://www.openwall.com/lists/oss-security/2015/09/27/1
https://lists.debian.org/debian-lts-announce/2015/09/msg00016.html
https://packages.debian.org/source/squeeze-lts/libemail-address-perl
Plugin 詳細資訊
嚴重性: High
ID: 86212
檔案名稱: debian_DLA-320.nasl
版本: 2.5
類型: local
代理程式: unix
已發布: 2015/10/1
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:libemail-address-perl, cpe:/o:debian:debian_linux:6.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
修補程式發佈日期: 2015/9/30