Рекомендация Debian по безопасности

DSA-3031-1 apt -- обновление безопасности

Дата сообщения:
23.09.2014
Затронутые пакеты:
apt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-6273.
Более подробная информация:

Команда Google Security Team обнаружила переполнение буфера в коде загрузки данных по протоколу HTTP в apt-get. Злоумышленник может выполнить HTTP запрос, используя метода атаки "человек-в-середине", репозиторию apt, что приведёт к переполнению буфера, что, в свою очередь, приведёт к аварийной остановке метода http в apt, либо к потенциальному выполнению произвольного кода.

В данное обновление были включены исправления двух проблем:

  • Исправление регресса из предыдущего обновления в DSA-3025-1, проявляющегося в случаях, когда опция apt Dir::state::lists в качестве значения имеет относительный путь (#762160).

  • Исправление регресса в обработке повторной проверки компакт-диска cdrom: sources. Указанный регресс может приводить к выводу предупреждений о некорректных хэш-суммах. Пользователям, у которых проявляется эта ошибка, следует после установки обновления выполнить "apt-cdrom add".

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.9.7.9+deb7u5.

Рекомендуется обновить пакеты apt.