1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
|
#use wml::debian::translation-check translation="8a7e345236fb211e9084fad1e2dc638bf2afe8b0" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В реализации языка программирования Perl были обнаружены
многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1238">CVE-2016-1238</a>
<p>Джон Лайтси и Тодд Риналдо сообщили, что вероятностная загрузка
опциональных модулей может приводить к тому, что многие программы ненамеренно
загружают код из текущего рабочего каталога (который может быть изменён
на другой каталог без ведома пользователя), что потенциально
приводит к повышению привилегий и уже было продемонстрировано в Debian
определённой комбинацией установленных пакетов.</p>
<p>Эта проблема связана с загрузкой Perl модулей из массива включённого
каталога ("@INC"), в котором последним элементом является текущий
каталог ("."). Это означает, что когда <q>perl</q> собирается загрузить модуль
(во время первой компиляции или во время ленивой загрузки модуля во время
исполнения), perl ищет этот модуль в текущем каталоге в
самом конце, поскольку '.' является последним включённым каталогом в массиве включённых
каталогов, среди которых производится поиск. Проблема касается требуемых библиотек, которые
находятся в ".", но не установлены каким-либо другим способом.</p>
<p>В данном обновлении несколько модулей, о которых известно, что они подвержены
данной уязвимости, изменены так, чтобы они не загружали модули из текущего каталога.</p>
<p>Кроме того, данное обновление позволяет настраивать удаление "." из @INC
в /etc/perl/sitecustomize.pl на период перехода. Рекомендуется
включить эту настройку в том случае, если вы оценили возможную
поломку конкретного узла. О проблемах в пакетах, предоставляемых в
Debian, которые происходят из-за перехода к удалению '.' из @INC,
следует сообщать сопровождающим Perl по адресу
perl@packages.debian.org .</p>
<p>Планируется по возможности перейти по умолчанию на удаление '.' из @INC в
следующих обновлениях perl в редакции выпуска, и в любом
случае такой переход будет осуществлён в готовящемся стабильном выпуске Debian 9 (stretch).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6185">CVE-2016-6185</a>
<p>Было обнаружено, что XSLoader, базовый модуль Perl для
динамической загрузки C-библиотек в Perl-код, может загружать разделяемую
библиотеку из неверного места. XSLoader использует инфорацию caller()
для определения места для загрузки файла .so. Эта информация может быть неверной,
если XSLoader::load() вызывается в коде исполнения строки. Злоумышленник может
использовать эту уязвимость для выполнения произвольного кода.</p></li>
</ul>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 5.20.2-3+deb8u6. Кроме того, данное обновление включает в себя
следующие обновлённые пакеты для решения уязвимостей с загрузкой модулей,
связанных с <a href="https://security-tracker.debian.org/tracker/CVE-2016-1238">CVE-2016-1238</a>,
либо для решения ошибок сборки, возникающих при удалении '.' из @INC:</p>
<ul>
<li>cdbs 0.4.130+deb8u1</li>
<li>debhelper 9.20150101+deb8u2</li>
<li>devscripts 2.15.3+deb8u12</li>
<li>exim4 4.84.2-2+deb8u12</li>
<li>libintl-perl 1.23-1+deb8u12</li>
<li>libmime-charset-perl 1.011.1-1+deb8u22</li>
<li>libmime-encwords-perl 1.014.3-1+deb8u12</li>
<li>libmodule-build-perl 0.421000-2+deb8u12</li>
<li>libnet-dns-perl 0.81-2+deb8u12</li>
<li>libsys-syslog-perl 0.33-1+deb8u12</li>
<li>libunicode-linebreak-perl 0.0.20140601-2+deb8u22</li>
</ul>
<p>Рекомендуется обновить пакеты perl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3628.data"
# $Id$
|
