Debian セキュリティ勧告

DSA-3031-1 apt -- セキュリティ更新

報告日時:
2014-09-23
影響を受けるパッケージ:
apt
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-6273.
詳細:

Google セキュリティチームが apt-get の HTTP 転送コードにバッファオーバーフローの脆弱性を発見しています。apt リポジトリへの HTTP リクエストの中間で攻撃可能な攻撃者がバッファオーバーフローを引き起こすことが可能で、apt のhttpメソッドバイナリのクラッシュや、 潜在的には任意のコードの実行につながります。

この更新ではリグレッションの修正が2件収録されています:

  • apt の Dir::state::lists 設定オプションで独自に相対パスがセットされている場合の前の DSA-3025-1 での更新によるリグレッション (#762160) を修正しています。

  • ハッシュサムについての誤った警告につながる可能性のある cdrom: ソースの再検証処理のリグレッションを修正しています。 影響のあるユーザは更新の適用後にapt-cdrom addを再び実行する必要があります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.9.7.9+deb7u5 で修正されています。

直ちに apt パッケージをアップグレードすることを勧めます。