Информация по безопасности / 2016 / Информация о безопасности -- DSA-3733-1 apt

Рекомендация Debian по безопасности

DSA-3733-1 apt -- обновление безопасности

Дата сообщения:

13.12.2016

Затронутые пакеты:

apt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-1252.

Более подробная информация:

Ян Хорн из Google Project Zero обнаружил, что APT, высокоуровневая утилита для управления пакетами, неправильно обрабатывает ошибки при выполнении проверки подписей у файлов InRelease. Злоумышленник, способный перехватить HTTP-запросы к репозиторию apt, использующему файлы InRelease (файлы Release с прозрачными подписями), может использовать эту уязвимость для обхода подписи файла InRelease, что приводит к выполнению произвольного кода.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.0.9.8.4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.4~beta2.

Рекомендуется обновить пакеты apt.