Bulletin d'alerte Debian

DLA-0005-1 apt -- Mise à jour de sécurité pour LTS

Date du rapport :
12 juin 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 749795.
Dans le dictionnaire CVE du Mitre : CVE-2011-3634, CVE-2014-0478.
Plus de précisions :

Jakub Wilk a découvert qu'APT, le gestionnaire de paquet de haut niveau, ne réalisait pas correctement les vérifications d'authentification pour les paquets source téléchargés par la commande « apt-get source ». Ce problème n'affecte que les cas où les paquets source sont téléchargés avec cette commande ; il n'affecte pas l'installation et la mise à niveau normale des paquets Debian. (CVE-2014-0478)

APT gérait incorrectement l'option de configuration Verify-Host. Si un attaquant distant était capable de réaliser une attaque de type « homme du milieu », ce défaut pourrait éventuellement être utilisé pour voler l'identité du dépôt. Cela ne concerne que les systèmes qui utilisent les sources d'APT pour des connexions https (cela nécessite que le paquet apt-transport-https soit installé). (CVE-2011-3634)

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze2 d'apt.