Säkerhetsbulletin från Debian

DSA-3733-1 apt -- säkerhetsuppdatering

Rapporterat den:
2016-12-13
Berörda paket:
apt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-1252.
Ytterligare information:

Jann Horn från Google Project Zero upptäckte att högnivåpakethanteraren APT inte hanterar fel ordentligt vid validering av signaturer i InRelease-filer. En angripare med möjlighet att köra man-in-the-middle-angrepp på HTTP-förfrågningar till ett apt-förråd som använder InRelease-filer, kan dra fördel av denna brist för att kringgå signaturen av InRelease-filen, vilket kan leda till godtycklig kodexekvering.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.0.9.8.4.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4~beta2.

Vi rekommenderar att ni uppgraderar era apt-paket.