[sécurité] faille dans apt

Tags: #<Tag:0x00007f63f45088b8>

Hello,

Je ne sais pas si le sujet a déjà été posté? Sinon ça pourrait peut-être intéresser du monde (ou du moins les gens qui traînent à faire leurs MàJ :wink: )

https://www.zdnet.fr/actualites/un-mechant-bug-de-securite-identifie-et-corrige-dans-linux-apt-39879689.htm

Les commandes pour le patch (en root):
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Ce ne serait pas mieux de fournir le lien vers l’annonce de sécurité originale de Debian ?

https://www.debian.org/security/2019/dsa-4371

Et au passage, l’annonce de publication de la nouvelle révision 9.7 de Debian qui inclut la correction de la faille d’apt :

https://www.debian.org/News/2019/20190123

Mais ces liens ne seront pas utiles à ceux qui sont abonnés aux listes de diffusion des annonces de sécurité et de mises à jour de Debian. J’encourage les autres à s’abonner afin de ne pas être pris par surprise.

Jetez aussi vos images et supports d’installation antérieurs qui contiennent des versions vulnérables d’apt et téléchargez celles de la version 9.7.

PS : si vous avez fait la mise à jour sans la précaution mentionnée dans l’annonce de sécurité, votre système est peut-être compromis.

edit.Je dirais même plus, c’est bien mieux!

Merci pour les précisions, effectivement elles ne serviront sans doute qu’aux retardataires, mais comme j’en fais partie je me suis dit qu’en rajouter une petite couche sur un forum ne ferait pas de mal non plus.

La faille concernait la redirection mais on peut aussi forcer https sur un serveur qui le fourni.
C.F https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1812353/comments/15

Exemple https://cdn-aws.deb.debian.org/debian/

deb https://cdn-aws.deb.debian.org/debian-security/ stretch/updates contrib main non-free
deb https://cdn-aws.deb.debian.org/debian stretch contrib main non-free
deb https://cdn-aws.deb.debian.org/debian stretch-proposed-updates contrib main non-free
apt policy apt
apt:
  Installé : 1.8.0~beta1
  Candidat : 1.8.0~beta1
 Table de version :
 *** 1.8.0~beta1 990
        990 https://cdn-aws.deb.debian.org/debian buster/main amd64 Packages
        500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
        100 /var/lib/dpkg/status
     1.4.9 500
        500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main amd64 Packages
        500 https://cdn-aws.deb.debian.org/debian stretch/main amd64 Packages
     1.0.9.8.5 500
        500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main amd64 Packages
     1.0.9.8.4 500
        500 https://cdn-aws.deb.debian.org/debian jessie/main amd64 Packages
1 J'aime

je suppose que ce site officiel est déjà connu de tous:

Bonsoir tout le monde. Et donc, pour celles et ceux qui ont fait les MAJ sans avoir entré
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Ca se passe comment? Debian Buster, dépos Stretch présents dans le sources.list

Bof, Faut pas trop flipper avec ça. Ce genre de failles est plus dangereuse une fois qu’elle à été révélée et ceux qui ne sont pas à jour peuvent être impactés.
Si un petit malin avait détourné http pour faire télécharger du faux code à apt, probable qu’on aurait déjà senti les conséquences.
Aujourd’hui l’essentiel est d’avoir une version corrigée pour ce problème.
Sachant qu’il y en a un autre dans les tuyaux :rofl: :rofl: :rofl:

Bug jessie stretch buster sid Description
CVE-2011-3374 vulnerable vulnerable vulnerable vulnerable apt-key insecure validation

https://security-tracker.debian.org/tracker/source-package/apt

Déjà répondu :

Déjà répondu:

Je vois. Donc le temps de la mise à jour de apt, si on a pas pris les précautions en entrant des deux lignes de code, on s’expose potentiellement au man in the middle. Dans le cas où on a pas été attaqué par cette faille lors la mise à jour, on est tranquille. Et dans le doute, on peut toujours télécharger les paquet disponibles de apt en vérifiant les sommes sha256 pour réinstaller par-dessus?

Trop tard si le système est compromis.

A suivre…

1 J'aime