Рекомендация Debian по безопасности

DSA-3733-1 apt -- обновление безопасности

Дата сообщения:
13.12.2016
Затронутые пакеты:
apt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-1252.
Более подробная информация:

Ян Хорн из Google Project Zero обнаружил, что APT, высокоуровневая утилита для управления пакетами, неправильно обрабатывает ошибки при выполнении проверки подписей у файлов InRelease. Злоумышленник, способный перехватить HTTP-запросы к репозиторию apt, использующему файлы InRelease (файлы Release с прозрачными подписями), может использовать эту уязвимость для обхода подписи файла InRelease, что приводит к выполнению произвольного кода.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.0.9.8.4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.4~beta2.

Рекомендуется обновить пакеты apt.