Säkerhetsbulletin från Debian
DSA-3048-1 apt -- säkerhetsuppdatering
- Rapporterat den:
- 2014-10-08
- Berörda paket:
- apt
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 763780.
I Mitres CVE-förteckning: CVE-2014-7206. - Ytterligare information:
-
Guillem Jover upptäckte att hämtningsfunktionaliteten för ändringsloggar i apt-get använde temporära filer på ett osäkert sätt, vilket tillät en lokal användare att orsaka godtyckliga filer att bli överskrivna.
Denna sårbarhet är neutraliserad av inställningen fs.protected_symlinks i Linuxkärnan, vilken är aktiverad som standard i Debian 7 Wheezy och senare versioner.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.9.7.9+deb7u6.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.0.9.2.
Vi rekommenderar att ni uppgraderar era apt-paket.