检测

Fedora 21:perl-Module-Signature-0.78-1.fc21 / perl-Test-Signature-1.11-1.fc21 (2015-5833)

high Nessus 插件 ID 82886

语言:

简介

远程 Fedora 主机缺少一个或多个安全更新。

描述

此更新解决了 perl-Module-Signature 中的各种安全问题,如下所述。默认行为也被更改,除非指定了“skip”参数,否则将忽略任何 MANIFEST.SKIP 文件。
此更新中包括说明已更改默认行为的原因的 perl-Test-Signature 更新版本。

安全问题:

- 低于 0.75 版的 Module::Signature 可能会受到欺骗,从而因错误地解析 PGP 签名边界,将 SIGNATURE 文件的未签名部分解释为签名部分。

- 在验证 CPAN 模块的内容时,低于 0.75 版的 Module::Signature 忽略了所提取的 tarball 中某些未列入签名文件中的文件。这包括 t/ 目录中的某些会在“make test”期间自动执行的文件。

- 从已签名的清单中生成校验和时,低于 0.75 版的 Module::Signature 使用双参数 open() 调用来读取文件。这允许向可能在签名验证流程期间执行的 SIGNATURE 文件中嵌入任意 shell 命令。

- 低于 0.75 版的 Module::Signature 在运行时将数个模块加载到所提取的模块目录中。Text::Diff 等模块并不保证在所有平台上都可用,并可被添加到恶意模块中,以便从 @INC 的“.”路径中进行加载。

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 perl-Module-Signature 和/或 perl-Test-Signature 程序包。

另见

https://bugzilla.redhat.com/show_bug.cgi?id=1209911

https://bugzilla.redhat.com/show_bug.cgi?id=1209915

https://bugzilla.redhat.com/show_bug.cgi?id=1209917

https://bugzilla.redhat.com/show_bug.cgi?id=1209918

http://www.nessus.org/u?f29d4586

http://www.nessus.org/u?7dc5ca36

插件详情

严重性: High

ID: 82886

文件名: fedora_2015-5833.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2015/4/20

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:perl-module-signature, p-cpe:/a:fedoraproject:fedora:perl-test-signature, cpe:/o:fedoraproject:fedora:21

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

补丁发布日期: 2015/4/9

参考资料信息

FEDORA: 2015-5833