danish/security/2015/dsa-3261.wml


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

#use wml::debian::translation-check translation="f44fb83c961656337a7f29f45fbed84b4135fea7" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Adskillige sårbarheder blev opdaget i libmodule-signature-perl, et Perl-modul 
til behandling af CPAN's SIGNATURE-filer.  Projektet Common Vulnerabilities and 
Exposures har registreret følgende problemer:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406">CVE-2015-3406</a>

    <p>John Lightsey opdagede at Module::Signature kunne fortolke den usignerede 
    del af en SIGNATURE-fil, som den signerede del, på grund af ukorrekt 
    håndtering af grænser for PGP-signaturer.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>

    <p>John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede 
    filer, som ikke er anført i SIGNATURE-filen.  Herunder nogle filer mappen 
    t/, som blev udført når tests blev kørt.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408">CVE-2015-3408</a>

    <p>John Lightsey opdagede at Module::Signature anvendte toparameterkald til 
    open() for at læse filer, når der blev genereret kontrolsummer ud fra det 
    signerede manifest.  Dermed var det muligt at indlejre vilkårlige 
    shellkommandoer i SIGNATURE-filen, og disse blev udført under processen med 
    at verificere signaturer.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409">CVE-2015-3409</a>

    <p>John Lightsey opdagede at Module::Signature på ukorrekt vis håndterede 
    indlæsning af moduler, hvorved det var muligt at indlæse moduler fra 
    relative stier i @INC.  En fjernangriber, som leverer et ondsindet modul, 
    kunne udnytte fejlen til at udføre vilkårlig kode under 
    signaturverifikationen.</p></li>

</ul>

<p>Bemærk at libtest-signature-perl blev kompabilitetsopdateret vedrørende 
rettelsen af <a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">\
CVE-2015-3407</a> i libmodule-signature-perl.</p>

<p>I den gamle stabile distribution (wheezy), er disse problemer rettet
i version 0.68-1+deb7u2.</p>

<p>I den stabile distribution (jessie), er disse problemer rettet i
version 0.73-1+deb8u1.</p>

<p>I distributionen testing (stretch), er disse problemer rettet
i version 0.78-1.</p>

<p>I den ustabile distribution (sid), er disse problemer rettet i
version 0.78-1.</p>

<p>Vi anbefaler at du opgraderer dine libmodule-signature-perl-pakker.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3261.data"