Рекомендация Debian по безопасности
DLA-58-2 apt -- обновление безопасности LTS
- Дата сообщения:
- 23.09.2014
- Затронутые пакеты:
- apt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-6273.
- Более подробная информация:
-
Данное обновление исправляет регрессию, появившуюся в версии 0.8.10.3+squeeze5, которая состоит в том, что apt при отправке запросов If-Range отправляет неправильные HTTP-запросы.
Ниже приводится изначальная рекомендация.
Команда безопасности Google обнаружила переполнение буфера в коде HTTP-транспорта в apt-get. Злоумышленник, способный путём атаки по принципу человек-в-середине осуществить HTTP-запрос к репозиторию apt, может вызвать переполнение буфера, приводящее к аварийной остановке метода
http
в apt или к потенциальному выполнению произвольного кода.В настоящее обновление включены следующие исправления регрессий:
- Исправление регрессии из предыдущего обновления в DLA-53-1, когда опция настройки apt Dir::state::lists устанавливалась в значение относительного пути (#762160).
- Исправление регрессии в обработке повторной проверки источников cdrom:, что может приводить к предупреждениям о неправильных контрольных суммах. Пользователям, у которых проявляется эта проблема, следует снова выполнить "apt-cdrom add" после установки данного обновления.
- Исправление регрессии из предыдущего обновления в DLA-53-1, когда используются источники file:///, находящиеся на разделе, отличающемся от каталога состояния apt.
В Debian 6
Squeeze
эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze6