Bulletin d'alerte Debian
DLA-53-1 apt -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 3 septembre 2014
- Paquets concernés :
- apt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-0487, CVE-2014-0488, CVE-2014-0489.
- Plus de précisions :
-
APT, le gestionnaire de paquet de haut niveau, n'invalide pas correctement les données non authentifiées (CVE-2014-0488), réalise une vérification incorrecte des réponses 304 (CVE-2014-0487) et ne vérifie pas les sommes de contrôle lorsque l'option Acquire::GzipIndexes est utilisée (CVE-2014-0489).
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze3 de apt.