Összefoglaló
Egy sérülékenységet fedeztek fel az apt-ban, amit kihasználva, rosszindulatú támadók megkerülhetnek egyes biztonsági előírásokat.
Leírás
Egy sérülékenységet fedeztek fel az apt-ban, amit kihasználva, rosszindulatú támadók megkerülhetnek egyes biztonsági előírásokat.
A biztonsági problémát az okozza, hogy az apt a “VALIDSIG” helyett a “GOODSIG” visszatérési értéket ellenőrzi, amikor a “gpgv” parancsot futtatja a csomag ellenőrzésekor. Ez lehetővé teszi azt, hogy az apt elfogadjon lejárt vagy visszavont hitelesítéssel aláírt csomagokat.
Megjegyzés: egy további hibát fedeztek fel az apt cron scriptben, bizonyos dátumok kezelésekor. A hiba az automatikus frissítések leállítását vagy letiltását eredményezheti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: packages.debian.org
Gyártói referencia: bugs.debian.org
CVE-2009-1300 - NVD CVE-2009-1300
CVE-2009-1358 - NVD CVE-2009-1358
SECUNIA 34829