LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-53-1 apt

Bulletin d'alerte Debian

DLA-53-1 apt -- Mise à jour de sécurité pour LTS

Date du rapport :

3 septembre 2014

Paquets concernés :

apt

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0487, CVE-2014-0488, CVE-2014-0489.

Plus de précisions :

APT, le gestionnaire de paquet de haut niveau, n'invalide pas correctement les données non authentifiées (CVE-2014-0488), réalise une vérification incorrecte des réponses 304 (CVE-2014-0487) et ne vérifie pas les sommes de contrôle lorsque l'option Acquire::GzipIndexes est utilisée (CVE-2014-0489).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze3 de apt.