Bulletin d'alerte Debian
DSA-3048-1 apt -- Mise à jour de sécurité
- Date du rapport :
- 8 octobre 2014
- Paquets concernés :
- apt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 763780.
Dans le dictionnaire CVE du Mitre : CVE-2014-7206. - Plus de précisions :
-
Guillem Jover a découvert que la fonctionnalité de récupération de la liste des changements d'apt-get utilisait des fichiers temporaires d'une manière peu sûre, permettant à un utilisateur local de provoquer l'écrasement de fichiers arbitraires.
Cette vulnérabilité est neutralisée par la configuration de fs.protected_symlinks dans le noyau Linux, qui est activé par défaut dans les versions Debian 7 Wheezy et suivantes.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.9.7.9+deb7u6.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.9.2.
Nous vous recommandons de mettre à jour vos paquets apt.