Информация по безопасности / 2014 / Информация о безопасности -- DSA-3048-1 apt

Рекомендация Debian по безопасности

DSA-3048-1 apt -- обновление безопасности

Дата сообщения:

08.10.2014

Затронутые пакеты:

apt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 763780.
В каталоге Mitre CVE: CVE-2014-7206.

Более подробная информация:

Гиллем Йовер обнаружил, что функциональность получения журнала изменений в apt-get использует временные файлы небезопасным образом, что позволяет локальному пользователю переписывать произвольные файлы.

Данная уязвимость нейтрализуется путём установки fs.protected_symlinks в ядре Linux, указанный параметр по умолчанию включен в Debian 7 Wheezy и выше.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.9.7.9+deb7u6.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.0.9.2.

Рекомендуется обновить пакеты apt.