Perl: Sicherheitslücke in Paketinstaller cpanminus - Downloads über unsichere HTTP-Verbindungen
Table of Contents
Eine kritische Sicherheitslücke (CVE-2024-45321) wurde in App::cpanminus (cpanm) bis Version 1.7047 entdeckt. Die populäre Perl-Modulverwaltungssoftware lädt in ihrer Standardkonfiguration Code über unsichere HTTP-Verbindungen herunter, was zu einem CWE-494-Fehler führt: Download von Code ohne Integritätsprüfung. Dies ermöglicht Netzwerkangreifern potenziell die Ausführung von Schadcode.
Mögliche Gegenmaßnahmen:
- HTTPS-Mirror konfigurieren: Nutzer können cpanminus so einstellen, dass es über einen sicheren HTTPS-Mirror Code herunterlädt, indem sie die Option
--fromverwenden. - cpanm ausführbare Datei patchen: Eine direkte Änderung der
http://-Endpunkte in der ausführbaren Datei ermöglicht weiterhin den Zugriff auf ältere und TRIAL-Veröffentlichungen. - Alternative Clients verwenden: Alternativen wie CPAN.pm ab Version 2.35 oder App::cpm nutzen standardmäßig HTTPS-Quellen und bieten eine sicherere Alternative.
Ein Patch zur Behebung der Sicherheitslücke ist derzeit nicht verfügbar. Anwendern wird geraten, eine der vorgeschlagenen Gegenmaßnahmen zu ergreifen, um ihre Systeme zu schützen.