Perl: Sicherheitslücke in Paketinstaller cpanminus - Downloads über unsichere HTTP-Verbindungen

Table of Contents

Eine kritische Sicherheitslücke (CVE-2024-45321) wurde in App::cpanminus (cpanm) bis Version 1.7047 entdeckt. Die populäre Perl-Modulverwaltungssoftware lädt in ihrer Standardkonfiguration Code über unsichere HTTP-Verbindungen herunter, was zu einem CWE-494-Fehler führt: Download von Code ohne Integritätsprüfung. Dies ermöglicht Netzwerkangreifern potenziell die Ausführung von Schadcode.

Mögliche Gegenmaßnahmen:

  1. HTTPS-Mirror konfigurieren: Nutzer können cpanminus so einstellen, dass es über einen sicheren HTTPS-Mirror Code herunterlädt, indem sie die Option --from verwenden.
  2. cpanm ausführbare Datei patchen: Eine direkte Änderung der http://-Endpunkte in der ausführbaren Datei ermöglicht weiterhin den Zugriff auf ältere und TRIAL-Veröffentlichungen.
  3. Alternative Clients verwenden: Alternativen wie CPAN.pm ab Version 2.35 oder App::cpm nutzen standardmäßig HTTPS-Quellen und bieten eine sicherere Alternative.

Ein Patch zur Behebung der Sicherheitslücke ist derzeit nicht verfügbar. Anwendern wird geraten, eine der vorgeschlagenen Gegenmaßnahmen zu ergreifen, um ihre Systeme zu schützen.

Related Posts

Schadsoftware-Installer UULoader umgeht Erkennung durch Windows msi-Dateien

Das Cyberint Research Team hat einen neuen, raffinierten Schadsoftware-Installer namens “UULoader” entdeckt, der Windows-Installationsdateien (.msi) nutzt, um Malware zu verbreiten. Diese MSI-Dateien, die als legitime Anwendungen oder Updates getarnt sind, zielen vor allem auf koreanische und chinesische Nutzer ab.

Read More

MS Edge: kritische Sicherheitslücke in Chromium-basierter V8-Engine

Am 22. August 2024 wurde die Sicherheitslücke CVE-2024-7971 im Chromium-Projekt bekannt gegeben, die eine Type Confusion im V8 JavaScript-Engine betrifft. Diese Schwachstelle wird aktiv ausgenutzt und betrifft sowohl Google Chrome als auch Microsoft Edge, da dieser ebenfalls auf Chromium basiert.

Read More

Zero-Day-Schwachstelle in Versa Director von Cyberkriminellen ausgenutzt

Am 22. August 2024 wurde eine kritische Zero-Day-Schwachstelle CVE-2024-39717 in Versa Director-Servern entdeckt, die von Cyberkriminellen aktiv ausgenutzt wird. Versa Director, eine Software zur Verwaltung von SD-WAN-Netzwerken, ist ein beliebtes Ziel für Bedrohungsakteure, da es die zentrale Verwaltung von Netzwerkkonfigurationen ermöglicht und häufig von Internet- und Managed Service Providern genutzt wird.

Read More