Bulletin d'alerte Debian

DSA-3025-1 apt -- Mise à jour de sécurité

Date du rapport :
16 septembre 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490.
Plus de précisions :

APT, le gestionnaire de paquet de haut niveau, n'invalide pas correctement les données non authentifiées (CVE-2014-0488), réalise une vérification incorrecte des réponses 304 (CVE-2014-0487), ne vérifie pas les sommes de contrôle lorsque l'option Acquire::GzipIndexes est utilisée (CVE-2014-0489) et ne valide pas correctement les paquets binaires téléchargés par la commande apt-get download (CVE-2014-0490).

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.9.7.9+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.9.

Nous vous recommandons de mettre à jour vos paquets apt.