Debian DLA-584-1：libsys-syslog-perl 安全性更新

high Nessus Plugin ID 92727

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

John Lightsey 與 Todd Rinaldo 報告，機會性載入選用模組可使許多程式意外從目前工作目錄 (其可能在使用者不知情的情況下變更為其他目錄) 載入程式碼，並可能導致權限提升，含特定已安裝套件組合的 Debian 即為一例。

此問題與 Perl 從包含目錄陣列 ('@INC') 中載入模組有關，其中的最後一個元素就是目前目錄 ('.')。這表示「perl」想要載入模組 (在執行時間第一次編譯或消極載入模組時) 時，perl 會在末端的目前目錄中尋找模組，因為「.」是其要尋找之包含目錄陣列中的最後一個包含目錄。問題在於位於「.」中但未以其他方式安裝的需要程式庫。

透過此更新，Sys::Syslog Perl 模組已更新為不從目前目錄載入模組。

針對 Debian 7「Wheezy」，這些問題已在 0.29-1+deb7u1 版本中修正。

建議您升級 libsys-syslog-perl 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。