Debian DLA-584-1：libsys-syslog-perl 安全更新

high Nessus 插件 ID 92727

语言：

简介

远程 Debian 主机缺少安全更新。

描述

John Lightsey 与 Todd Rinaldo 报告，机会性加载可选模块可使许多程序无意间从当前工作目录（其可能在用户不知情的情况下更改为其他目录）加载代码，并可能导致权限升级，这一点已由含有某些已安装程序包组合的 Debian 所证实。

此问题与 Perl 从包含目录数组 ('@INC') 中加载模块有关，其中的最后一个元素就是当前目录 ('.')。这表示“perl”想要加载模块（在运行时第一次编译或消极加载模块时）时，perl 会在末端的当前目录中查找模块，因为“.”是其要查找的包含目录数组中的最后一个包含目录。问题在于位于“.”中但未以其他方式安装的必要库。

通过此更新，Sys::Syslog Perl 模块已更新为不从当前目录加载模块。

对于 Debian 7“Wheezy”，这些问题已在 0.29-1+deb7u1 版本中修复。

建议您升级 libsys-syslog-perl 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。