1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
#use wml::debian::translation-check translation="f44fb83c961656337a7f29f45fbed84b4135fea7" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Adskillige sårbarheder blev opdaget i libmodule-signature-perl, et Perl-modul
til behandling af CPAN's SIGNATURE-filer. Projektet Common Vulnerabilities and
Exposures har registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406">CVE-2015-3406</a>
<p>John Lightsey opdagede at Module::Signature kunne fortolke den usignerede
del af en SIGNATURE-fil, som den signerede del, på grund af ukorrekt
håndtering af grænser for PGP-signaturer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>
<p>John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede
filer, som ikke er anført i SIGNATURE-filen. Herunder nogle filer mappen
t/, som blev udført når tests blev kørt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408">CVE-2015-3408</a>
<p>John Lightsey opdagede at Module::Signature anvendte toparameterkald til
open() for at læse filer, når der blev genereret kontrolsummer ud fra det
signerede manifest. Dermed var det muligt at indlejre vilkårlige
shellkommandoer i SIGNATURE-filen, og disse blev udført under processen med
at verificere signaturer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409">CVE-2015-3409</a>
<p>John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede
indlæsning af moduler, hvorved det var muligt at indlæse moduler fra
relative stier i @INC. En fjernangriber, som leverer et ondsindet modul,
kunne udnytte fejlen til at udføre vilkårlig kode under
signaturverifikationen.</p></li>
</ul>
<p>Bemærk at libtest-signature-perl blev kompabilitetsopdateret vedrørende
rettelsen af <a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">\
CVE-2015-3407</a> i libmodule-signature-perl.</p>
<p>I den gamle stabile distribution (wheezy), er disse problemer rettet
i version 0.68-1+deb7u2.</p>
<p>I den stabile distribution (jessie), er disse problemer rettet i
version 0.73-1+deb8u1.</p>
<p>I distributionen testing (stretch), er disse problemer rettet
i version 0.78-1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 0.78-1.</p>
<p>Vi anbefaler at du opgraderer dine libmodule-signature-perl-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3261.data"
|