Bulletin d'alerte Debian

DSA-3048-1 apt -- Mise à jour de sécurité

Date du rapport :
8 octobre 2014
Paquets concernés :
apt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 763780.
Dans le dictionnaire CVE du Mitre : CVE-2014-7206.
Plus de précisions :

Guillem Jover a découvert que la fonctionnalité de récupération de la liste des changements d'apt-get utilisait des fichiers temporaires d'une manière peu sûre, permettant à un utilisateur local de provoquer l'écrasement de fichiers arbitraires.

Cette vulnérabilité est neutralisée par la configuration de fs.protected_symlinks dans le noyau Linux, qui est activé par défaut dans les versions Debian 7 Wheezy et suivantes.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.9.7.9+deb7u6.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.9.2.

Nous vous recommandons de mettre à jour vos paquets apt.