[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2015/dsa-3261.wml

Bonjour
Le 17/05/2015 08:00, JP Guillonneau a écrit :
> Bonjour,
> détails.
> Amicalement.
Corrigé. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libmodule-signature-perl,
un module de Perl pour manipuler les fichiers SIGNATURE du CPAN. Le projet
« Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406";>CVE-2015-3406</a>

<p>John Lightsey a découvert que Module::Signature pourrait analyser la
partie non signée du fichier SIGNATURE comme la partie signée à cause d'un
traitement incorrect des limites de la signature PGP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407";>CVE-2015-3407</a>

<p>John Lightsey a découvert que Module::Signature traite incorrectement
les fichiers qui ne sont pas listés dans le fichier SIGNATURE. Cela inclut
certains fichiers dans le répertoire t/ qui pourraient s'exécuter lors des
tests.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408";>CVE-2015-3408</a>

<p>John Lightsey a découvert que Module::Signature utilisait deux appels de
l'argument open() pour lire les fichiers lors de la génération des sommes de
contrôle à partir du manifeste signé. Cela permet d'embarquer des commandes de
shell arbitraires dans le fichier SIGNATURE qui pourraient s'exécuter lors du
processus de vérification de signature.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409";>CVE-2015-3409</a>

<p>John Lightsey a découvert que Module::Signature traite incorrectement le
chargement de module, permettant de charger des modules à partir de chemins
relatifs dans @INC. Un attaquant distant fournissant un module malveillant
pourrait utiliser ce problème pour exécuter du code arbitraire lors de la
vérification de la signature.</p></li>

</ul>

<p>Notez que libtest-signature-perl a reçu une mise à jour pour assurer la
compatibilité avec la correction pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-3407";>CVE-2015-3407</a>
dans libmodule-signature-perl.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.68-1+deb7u2.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.73-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 0.78-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.78-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmodule-signature-perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3261.data"
# $Id: dsa-3261.wml,v 1.2 2015/05/17 07:10:59 jipege1-guest Exp $
Reply to: