Debians sikkerhedsbulletin

DSA-3031-1 apt -- sikkerhedsopdatering

Rapporteret den:
23. sep 2014
Berørte pakker:
apt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-6273.
Yderligere oplysninger:

Google Security Team opdagede en bufferoverløbssårbarhed i HTTP-transportkoden i apt-get. En angriber med mulighed for at udføre en manden i midten-HTTP-forespørgsel til et apt-arkiv, kunne udløse bufferoverløbet, førende til et nedbrud i den binære apt-metode http eller potentielt udførelse af vilkårlig kode.

To rettelser af regressionsfejl er medtaget i opdateringen:

  • Retter regression fra den tidligere opdatering DSA-3025-1, hvor den skræddersyede apt-opsætningsvalgmulighed til Dir::state::lists er opsat til en relativ sti (#762160).

  • Retter regression i genverifikationshåndternen af cdrom:-kilder, som måske kunne føre til ukorrekte hashsum-advarsler. Påvirkede brugere er nødt til at køre apt-cdrom add igen efter en opdateringen er lagt på.

I den stabile distribution (wheezy), er dette problem rettet i version 0.9.7.9+deb7u5.

Vi anbefaler at du opgraderer dine apt-pakker.