Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.01.2016):
Für openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates bereit.
Version 2 (18.05.2015):
Debian stellt für die alte stabile Distribution Wheezy, die stabile
Version Jessie und die testing Distribution Stretch Sicherheitsupdates
bereit.
Version 1 (12.05.2015):
Neues Advisory

Betroffene Software:

CPAN Module::Signature

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
Debian Linux 9.0 Stretch
openSUSE 13.1
openSUSE 13.2

Mehrere Schwachstellen im CPAN Module::Signature ermöglichen einem
entfernten, nicht authentifizierten Angreifer Sicherheitsmaßnahmen zu
umgehen oder beliebigen Programmcode auszuführen. Canonical stellt für
Ubuntu 15.04 (vivid), 14.10, 14.04 LTS und 12.04 LTS verschiedene
Sicherheitsupdates in Form aktualisierter Pakete von
“libmodule-signature-perl” zur Verfügung.

Patch:

Ubuntu Security Notice USN-2607-1 (Module::Signature)

http://www.ubuntu.com/usn/usn-2607-1/

Patch:

Debian Security Advisory DSA-3261-1

https://www.debian.org/security/2015/dsa-3261

Patch:

openSUSE Security Update openSUSE-SU-2016:0163-1

http://lists.opensuse.org/opensuse-updates/2016-01/msg00060.html

CVE-2015-3409: Schwachstelle in Module::Signature ermöglicht Ausführen
beliebigen Programmcodes

Eine Schwachstelle in Module::Signature führt dazu, dass das Laden von
Module innerhalb des Überprüfungsprozesses nicht korrekt erfolgt. Dadurch
ist es möglich, während der Überprüfung der Signatur Programmcode
auszuführen. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen.

CVE-2015-3408: Schwachstelle in Module::Signature ermöglicht Ausführen
beliebigen Programmcodes

Eine Schwachstelle in Module::Signature führt dazu, dass in einer
SIGNATURE-Datei eingebettete Shell-Kommandos nicht fehlerfrei behandelt
werden. Dadurch ist es möglich, Programmcode bei der Überprüfung der
Signatur auszuführen. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen.

CVE-2015-3407: Schwachstelle in Module::Signature ermöglicht Ausführen
beliebigen Programmcodes

Ein Schwachstelle in Module::Signature führt dazu, dass Dateien, die nicht
in der SIGNATURE-Datei enthalten sind, fehlerhaft verarbeitet werden. Ein
entfernter, nicht authentifizierter Angreifer kann durch nicht spezifizierte
Aktionen beliebigen Programmcode ausführen.

CVE-2015-3406: Schwachstelle in Module::Signature ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Module::Signature ermöglicht es, dass nicht signierte
Teile einer SIGNATURE-Datei als signierte Teile geparst werden. Verursacht
wird dies durch eine fehlerhafte Überprüfung der PGP-Signatur-Grenzen. Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0676/

Ubuntu Security Notice USN-2607-1 (Module::Signature):
http://www.ubuntu.com/usn/usn-2607-1/

Schwachstelle CVE-2015-3406 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3406

Schwachstelle CVE-2015-3407 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3407

Schwachstelle CVE-2015-3408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3408

Schwachstelle CVE-2015-3409 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3409

Debian Security Advisory DSA-3261-1:
https://www.debian.org/security/2015/dsa-3261

openSUSE Security Update openSUSE-SU-2016:0163-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00060.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.