Bulletin d'alerte Debian

DLA-58-2 apt -- Mise à jour de sécurité pour LTS

Date du rapport :
23 septembre 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-6273.
Plus de précisions :

Cette mise à jour corrige une régression introduite dans 0.8.10.3+squeeze5 où apt envoyait des requêtes HTTP non valables lors d’envoi de demandes If-Range.

Pour indication, voici le texte de l’annonce originale.

L'équipe de sécurité de Google a découvert une vulnérabilité de dépassement de tampon dans le code de transport HTTP d'apt-get. Un attaquant capable de faire une attaque de l'homme du milieu sur une requête HTTP vers un dépôt apt peut déclencher un dépassement de tampon, provoquant un plantage du binaire de la méthode d'acquisition par HTTP d'apt ou éventuellement l'exécution de code arbitraire.

Les corrections de régression suivantes étaient fournies dans cette mise à jour :

– un correctif de régression de la mise à jour précédente dans DLA-53-1 quand l'option de configuration d'apt pour Dir::state::lists est réglée sur un chemin relatif (n° 762160) ;

– un correctif de régression dans le traitement de revérification de sources cdrom: qui pourraient conduire à des avertissements de somme de hachage incorrecte. Les utilisateurs affectés doivent lancer apt-cdrom add à nouveau après l'application de la mise à jour ;

– un correctif de régression de la mise à jour précédente dans DLA-53-1 quand file:/// sources sont utilisées et sont sur une partition différente du répertoire d’état d’apt.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze6 de apt.