Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3048-1 apt

Debians sikkerhedsbulletin

DSA-3048-1 apt -- sikkerhedsopdatering

Rapporteret den:

8. okt 2014

Berørte pakker:

apt

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 763780.
I Mitres CVE-ordbog: CVE-2014-7206.

Yderligere oplysninger:

Guillem Jover opdagede at funktionaliteten til hentning af changelog i apt-get, anvendte midlertidige filer på en usikker måde, hvilket gjorde det muligt for en lokal bruger, at forårsage at vilkårlige filer blev overskrevet.

Sårbarheden neutraliseres af indstillingen fs.protected_symlinks i Linux-kernen, hvilket som standard er aktiveret i Debian 7 Wheezy og senere.

I den stabile distribution (wheezy), er dette problem rettet i version 0.9.7.9+deb7u6.

I den ustabile distribution (sid), er dette problem rettet i version 1.0.9.2.

Vi anbefaler at du opgraderer dine apt-pakker.