[ALERTE] Vulnérabilité dans le gestionnaire de paquets APT

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3386
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

[ALERTE] Vulnérabilité dans le gestionnaire de paquets APT

Message par charles » 23 janv. 2019 07:44

Max Justicz a découvert une vulnérabilité dans le gestionnaire de paquet APT permettant l'exécution de code arbitraire à distance. Le code traitant les redirections HTTP dans la méthode de transport HTTP ne vérifie pas correctement les champs transmis sur le réseau. Cette vulnérabilité pourrait être utilisée par un attaquant dans la position de Man In The Middle entre APT et un miroir pour injecter un contenu malveillant dans la connexion HTTP. Ce contenu pourrait ensuite être reconnu comme un paquet valable par APT et être utilisé plus tard pour l'exécution de code avec les droits du superutilisateur sur la machine cible.

Debian recommande de désactiver les redirections, afin de prévenir son exploitation durant cette mise à niveau uniquement, avec les instructions suivantes :

Code : Tout sélectionner

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Source : https://www.debian.org/security/2019/dsa-4371

L'ANSSI a ouvert une alerte sur le sujet : https://www.cert.ssi.gouv.fr/alerte/CER ... 9-ALE-001/

Voir également : https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-030/

Toutes les distributions Linux utilisant le gestionnaire de paquet sont concernés.

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »