Рекомендация Debian по безопасности

DLA-58-2 apt -- обновление безопасности LTS

Дата сообщения:
23.09.2014
Затронутые пакеты:
apt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-6273.
Более подробная информация:

Данное обновление исправляет регрессию, появившуюся в версии 0.8.10.3+squeeze5, которая состоит в том, что apt при отправке запросов If-Range отправляет неправильные HTTP-запросы.

Ниже приводится изначальная рекомендация.

Команда безопасности Google обнаружила переполнение буфера в коде HTTP-транспорта в apt-get. Злоумышленник, способный путём атаки по принципу человек-в-середине осуществить HTTP-запрос к репозиторию apt, может вызвать переполнение буфера, приводящее к аварийной остановке метода http в apt или к потенциальному выполнению произвольного кода.

В настоящее обновление включены следующие исправления регрессий:

* Исправление регрессии из предыдущего обновления в DLA-53-1, когда опция настройки apt Dir::state::lists устанавливалась в значение относительного пути (#762160).

* Исправление регрессии в обработке повторной проверки источников cdrom:, что может приводить к предупреждениям о неправильных контрольных суммах. Пользователям, у которых проявляется эта проблема, следует снова выполнить "apt-cdrom add" после установки данного обновления.

* Исправление регрессии из предыдущего обновления в DLA-53-1, когда используются источники file:///, находящиеся на разделе, отличающемся от каталога состояния apt.

В Debian 6 Squeeze эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze6