Debian セキュリティ勧告

DLA-58-2 apt -- LTS セキュリティ更新

報告日時:
2014-09-23
影響を受けるパッケージ:
apt
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-6273.
詳細:

この更新では apt が If-Range クエリーを送信する際に不正な HTTP リクエストを送る 0.8.10.3+squeeze5 によるリグレッションを修正します。

参考までに前の勧告を再掲します。

Google セキュリティチームが apt-get の HTTP 転送コードにバッファオーバーフローの脆弱性を発見しています。apt リポジトリへの HTTP リクエストの中間で攻撃可能な攻撃者がバッファオーバーフローを引き起こすことが可能で、apt のhttpメソッドバイナリのクラッシュや、 潜在的には任意のコードの実行につながります。

この更新では以下のリグレッションの修正が収録されています:

  • apt の Dir::state::lists 設定オプションで独自に相対パスがセットされている場合の前の DLA-53-1 での更新によるリグレッション (#762160) を修正しています。

  • ハッシュサムについての誤った警告につながる可能性のある cdrom: ソースの再検証処理のリグレッションを修正しています。 影響のあるユーザは更新の適用後にapt-cdrom addを再び実行する必要があります。

  • apt の状態ディレクトリとは異なるパーティションのソースを file:/// で利用している場合の前の DLA-53-1 での更新によるリグレッションを修正しています。

Debian 6Squeezeでは、この問題は apt バージョン 0.8.10.3+squeeze6 で修正されています。