Eine kritische Sicherheitslücke (CVE-2024-45321) wurde in App::cpanminus (cpanm) bis Version 1.7047 entdeckt. Die populäre Perl-Modulverwaltungssoftware lädt in ihrer Standardkonfiguration Code über unsichere HTTP-Verbindungen herunter, was zu einem CWE-494-Fehler führt: Download von Code ohne Integritätsprüfung. Dies ermöglicht Netzwerkangreifern potenziell die Ausführung von Schadcode.
Mögliche Gegenmaßnahmen:
- HTTPS-Mirror konfigurieren: Nutzer können cpanminus so einstellen, dass es über einen sicheren HTTPS-Mirror Code herunterlädt, indem sie die Option
--fromverwenden. - cpanm ausführbare Datei patchen: Eine direkte Änderung der
http://-Endpunkte in der ausführbaren Datei ermöglicht weiterhin den Zugriff auf ältere und TRIAL-Veröffentlichungen. - Alternative Clients verwenden: Alternativen wie CPAN.pm ab Version 2.35 oder App::cpm nutzen standardmäßig HTTPS-Quellen und bieten eine sicherere Alternative.
Ein Patch zur Behebung der Sicherheitslücke ist derzeit nicht verfügbar. Anwendern wird geraten, eine der vorgeschlagenen Gegenmaßnahmen zu ergreifen, um ihre Systeme zu schützen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: