Säkerhetsbulletin från Debian

DSA-3031-1 apt -- säkerhetsuppdatering

Rapporterat den:
2014-09-23
Berörda paket:
apt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-6273.
Ytterligare information:

Googles säkerhetsgrupp upptäckte en buffertspillsårbarhet i HTTP-transportkoden i apt-get. En angripare som kunde göra man-in-the-middle-angrepp på HTTP-förfrågningar till ett apt-förråd kan trigga buffertspillet, som leder till krasch av binären för http-apt-metoden, eller potentieltt körning av godtycklig kod.

Två regressionsfixar inkluderas i denna uppdatering:

  • Rätta regression från föregående uppdatering i DSA-3025-1 när den anpassningsbara konfigurationsinställningen för Dir::state::lists är satt till en relativ sökväg (#762160).

  • Rätta regression i återverifieringshanteringen av cdrom:-källor som kan leda till hashsumvarningar. Påverkade användare måste köra "apt-cdrom add" igen efter att uppdateringen var genomförd.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.9.7.9+deb7u5.

Vi rekommenderar att ni uppgraderar era apt-paket.