Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-58-2 apt

Debian セキュリティ勧告

DLA-58-2 apt -- LTS セキュリティ更新

報告日時:

2014-09-23

影響を受けるパッケージ:

apt

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-6273.

詳細:

この更新では apt が If-Range クエリーを送信する際に不正な HTTP リクエストを送る 0.8.10.3+squeeze5 によるリグレッションを修正します。

参考までに前の勧告を再掲します。

Google セキュリティチームが apt-get の HTTP 転送コードにバッファオーバーフローの脆弱性を発見しています。apt リポジトリへの HTTP リクエストの中間で攻撃可能な攻撃者がバッファオーバーフローを引き起こすことが可能で、apt のhttpメソッドバイナリのクラッシュや、 潜在的には任意のコードの実行につながります。

この更新では以下のリグレッションの修正が収録されています:

• apt の Dir::state::lists 設定オプションで独自に相対パスがセットされている場合の前の DLA-53-1 での更新によるリグレッション (#762160) を修正しています。

• ハッシュサムについての誤った警告につながる可能性のある cdrom: ソースの再検証処理のリグレッションを修正しています。 影響のあるユーザは更新の適用後にapt-cdrom addを再び実行する必要があります。

• apt の状態ディレクトリとは異なるパーティションのソースを file:/// で利用している場合の前の DLA-53-1 での更新によるリグレッションを修正しています。

Debian 6Squeezeでは、この問題は apt バージョン 0.8.10.3+squeeze6 で修正されています。