Säkerhetsbulletin från Debian

DSA-3048-1 apt -- säkerhetsuppdatering

Rapporterat den:
2014-10-08
Berörda paket:
apt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 763780.
I Mitres CVE-förteckning: CVE-2014-7206.
Ytterligare information:

Guillem Jover upptäckte att hämtningsfunktionaliteten för ändringsloggar i apt-get använde temporära filer på ett osäkert sätt, vilket tillät en lokal användare att orsaka godtyckliga filer att bli överskrivna.

Denna sårbarhet är neutraliserad av inställningen fs.protected_symlinks i Linuxkärnan, vilken är aktiverad som standard i Debian 7 Wheezy och senare versioner.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.9.7.9+deb7u6.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.0.9.2.

Vi rekommenderar att ni uppgraderar era apt-paket.