Bulletin d'alerte Debian

DSA-3733-1 apt -- Mise à jour de sécurité

Date du rapport :
13 décembre 2016
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1252.
Plus de précisions :

Jann Horn de Google Project Zero a découvert que APT, le gestionnaire de paquets de haut niveau, ne gère pas correctement les erreurs lors de la validation des signatures des fichiers InRelease. Un attaquant capable d'envoyer des requêtes HTTP de type « homme du milieu » à un dépôt apt qui utilise des fichiers InRelease (fichiers de version signés en clair), peut tirer avantage de ce défaut pour contourner la signature du fichier InRelease, menant à l'exécution de code arbitraire.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.0.9.8.4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4~beta2.

Nous vous recommandons de mettre à jour vos paquets apt.