Bulletin d'alerte Debian

DSA-3031-1 apt -- Mise à jour de sécurité

Date du rapport :
23 septembre 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-6273.
Plus de précisions :

L'équipe de sécurité de Google a découvert une vulnérabilité de dépassement de tampon dans le code de transport HTTP d'apt-get. Un attaquant capable de faire une attaque de l'homme du milieu sur une requête HTTP vers un dépôt apt peut déclencher un dépassement de tampon, provoquant un plantage du binaire de la méthode d'acquisition par HTTP d'apt ou éventuellement l'exécution de code arbitraire.

Deux correctifs de régression sont inclus dans cette mise à jour :

  • un correctif de régression de la mise à jour précédente dans DSA-3025-1 quand l'option de configuration d'apt pour Dir::state::lists est réglée sur un chemin relatif (#762160).

  • un correctif de régression dans le traitement de revérification de sources cdrom: qui pourraient conduire à des avertissements de somme de hachage incorrecte. Les utilisateurs affectés doivent lancer apt-cdrom add à nouveau après l'application de la mise à jour.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.9.7.9+deb7u5.

Nous vous recommandons de mettre à jour vos paquets apt.