Debian DLA-565-1:perl 安全性更新

high Nessus Plugin ID 92613

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 Perl 程式設計語言的實作中發現多個弱點。Common Vulnerabilities and Exposures 專案發現下列問題:

CVE-2016-1238

John Lightsey 與 Todd Rinaldo 報告,機會性載入選用模組可使許多程式意外從目前工作目錄 (其可能在使用者不知情的情況下變更為其他目錄) 載入程式碼,並可能導致權限提升,含特定已安裝套件組合的 Debian 即為一例。

此問題與 Perl 從包含目錄陣列 ('@INC') 中載入模組有關,其中的最後一個元素就是目前目錄 ('.')。這表示「perl」想要載入模組 (在執行時間第一次編譯或消極載入模組時) 時,perl 會在末端的目前目錄中尋找模組,因為「.」是其要尋找之包含目錄陣列中的最後一個包含目錄。問題在於位於「.」中但未以其他方式安裝的需要程式庫。

透過此更新,已知受影響的數個模組會更新為不從目前目錄載入模組。

此外,更新允許在轉換期間從 /etc/perl/sitecustomize.pl 中的 @INC 對「.」進行可設定移除。如果評估到特定網站可能發生中斷情形,建議啟用此設定。
在 Debian 內提供的套件中,因切換至從 @INC 中移除「.」所導致的問題應向 Perl 維護人員報告,地址為 [email protected]

CVE-2016-6185

據發現,用於將 C 程式庫動態載入 Perl 程式碼的 Perl 核心模組 XSLoader 可能從不正確的位置載入共用程式碼。XSLoader 使用 caller() 資訊來尋找要載入的 .so 檔案。如果在字串 eval 中呼叫 XSLoader::load(),這可能會不正確。攻擊者可利用此瑕疵執行任意程式碼。

針對 Debian 7「Wheezy」,這些問題已在 5.14.2-21+deb7u4 版本中修正。

建議您升級 perl 套件。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2016/07/msg00027.html

https://packages.debian.org/source/wheezy/perl

Plugin 詳細資訊

嚴重性: High

ID: 92613

檔案名稱: debian_DLA-565.nasl

版本: 2.6

類型: local

代理程式: unix

已發布: 2016/7/29

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.3

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libcgi-fast-perl, p-cpe:/a:debian:debian_linux:libperl-dev, p-cpe:/a:debian:debian_linux:libperl5.14, p-cpe:/a:debian:debian_linux:perl, p-cpe:/a:debian:debian_linux:perl-base, p-cpe:/a:debian:debian_linux:perl-debug, p-cpe:/a:debian:debian_linux:perl-doc, p-cpe:/a:debian:debian_linux:perl-modules, cpe:/o:debian:debian_linux:7.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/7/28

參考資訊

CVE: CVE-2016-1238, CVE-2016-6185