blob: 9d082ff057a86c97588dc9ba226576ce54a8b9c3 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>Джон Лайтси обнаружил многочисленные уязвимости в Module::Signature,
модуле Perl для работы с файлами CPAN SIGNATURE. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406">CVE-2015-3406</a>
<p>Module::Signature может выполнять грамматический разбор неподписанной части файла
SIGNATURE как подписанной части из-за неправильной обработки границ
PGP-подписи.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>
<p>Module::Signature неправильно обрабатывает файлы, которые не указаны в
файле SIGNATURE. Это включает в себя некоторые файлы в каталоге t/,
которые будут выполнены при запуске тестов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408">CVE-2015-3408</a>
<p>Module::Signature использует вызовы open() с двумя аргументами для чтения файлов
при создании контрольных сумм из подписанных деклараций. Это позволяет
встраивать произвольные команды командной оболочки в файл SIGNATURE, которые будут
выполнены в процессе проверки подписи.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409">CVE-2015-3409</a>
<p>Module::Signature неправильно обрабатывает загрузку модулей, позволяя
загружать модули по относительным путям в @INC. Удалённый злоумышленник,
предоставивший специально сформированный модуль, может использовать данную проблему
для выполнения произвольного кода в процессе проверки подписи.</p></li>
</ul>
<p>В выпуске squeeze эти проблемы были исправлены в версии
0.63-1+squeeze2 пакет libmodule-signature-perl. Заметьте, что
пакет libtest-signature-perl тоже был обновлён с целью обеспечения совместимости с
исправлением <a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>.</p>
<p>Рекомендуется обновить пакеты libmodule-signature-perl и
libtest-signature-perl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-264.data"
# $Id$
|
