セキュリティ情報 / 2017 / セキュリティ情報 -- DSA-3873-1 perl

Debian セキュリティ勧告

DSA-3873-1 perl -- セキュリティ更新

報告日時:

2017-06-05

影響を受けるパッケージ:

perl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 863870.
Mitre の CVE 辞書: CVE-2017-6512.

詳細:

cPanel セキュリティチームは、ディレクトリツリーを作成または削除する Perl コアモジュールである File::Path の、条件等を確認してから実際に 行うまでの時間差 (TOCTTOU) 競合状態の脆弱性を報告しました。 攻撃者は、この欠陥を利用して攻撃者が選択したファイルのモードを攻撃者 が選択した値に設定できます。

安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 5.20.2-3+deb8u7 で修正されています。

次期安定版 (testing) ディストリビューション (stretch) では、この問題はバージョン 5.24.1-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 5.24.1-3 で修正されています。

直ちに perl パッケージをアップグレードすることを勧めます。