Bulletin d'alerte Debian

DLA-53-1 apt -- Mise à jour de sécurité pour LTS

Date du rapport :
3 septembre 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0487, CVE-2014-0488, CVE-2014-0489.
Plus de précisions :

APT, le gestionnaire de paquet de haut niveau, n'invalide pas correctement les données non authentifiées (CVE-2014-0488), réalise une vérification incorrecte des réponses 304 (CVE-2014-0487) et ne vérifie pas les sommes de contrôle lorsque l'option Acquire::GzipIndexes est utilisée (CVE-2014-0489).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze3 de apt.