Debian DSA-3628-1：perl - 安全性更新

high Nessus Plugin ID 92548

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Perl 程式設計語言的實作中發現多個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2016-1238 John Lightsey 與 Todd Rinaldo 報告，機會性載入選用模組可使許多程式意外從目前工作目錄 (其可能在使用者不知情的情況下變更為其他目錄) 載入程式碼，並可能導致權限提升，含特定已安裝套件組合的 Debian 即為一例。

此問題與 Perl 從包含目錄陣列 ('@INC') 中載入模組有關，其中的最後一個元素就是目前目錄 ('.')。這表示「perl」想要載入模組 (在執行時間第一次編譯或消極載入模組時) 時，perl 會在末端的目前目錄中尋找模組，因為「.」是其要尋找之包含目錄陣列中的最後一個包含目錄。問題在於位於「.」中但未以其他方式安裝的需要程式庫。

透過此更新，已知受影響的數個模組會更新為不從目前目錄載入模組。

此外，更新允許在轉換期間從 /etc/perl/sitecustomize.pl 中的 @INC 對「.」進行可設定移除。如果評估到特定網站可能發生中斷情形，建議啟用此設定。在 Debian 內提供的套件中，因切換至從 @INC 中移除「.」所導致的問題應向 Perl 維護人員報告，地址為 [email protected]。

如果可能，規劃在 perl 的後續更新中透過重點版本切換為 @INC 中「.」的預設移除，而且在即將發行的穩定版本 Debian 9 (stretch) 中一定會切換。

- CVE-2016-6185 據發現，用於將 C 程式庫動態載入 Perl 程式碼的 Perl 核心模組 XSLoader 可能從不正確的位置載入共用程式碼。XSLoader 使用 caller() 資訊來尋找要載入的 .so 檔案。如果在字串 eval 中呼叫 XSLoader::load()，這可能會不正確。攻擊者可利用此瑕疵執行任意程式碼。

解決方案

升級 perl 套件。

針對穩定的發行版本 (jessie)，這些問題已在 5.20.2-3+deb8u6 版本中修正。此外，此更新包含下列更新版套件，以解決與 CVE-2016-1238 有關的選用模組載入弱點，或解決當從 @INC 移除「.」時發生的構建失敗：

- cdbs 0.4.130+deb8u1
- debhelper 9.20150101+deb8u2

- devscripts 2.15.3+deb8u12

- exim4 4.84.2-2+deb8u12

- libintl-perl 1.23-1+deb8u12

- libmime-charset-perl 1.011.1-1+deb8u22

- libmime-encwords-perl 1.014.3-1+deb8u12

- libmodule-build-perl 0.421000-2+deb8u12

- libnet-dns-perl 0.81-2+deb8u12

- libsys-syslog-perl 0.33-1+deb8u12

- libunicode-linebreak-perl 0.0.20140601-2+deb8u22