Az apt csomag aláírás ellenőrzési sérülékenysége

CH azonosító

CH-2125

Felfedezés dátuma

2009.04.20.

Súlyosság

Alacsony

Érintett rendszerek

Debian
apt

Érintett verziók

Debian apt 0.x

Összefoglaló

Egy sérülékenységet fedeztek fel az apt-ban, amit kihasználva, rosszindulatú támadók megkerülhetnek egyes biztonsági előírásokat.

Leírás

Egy sérülékenységet fedeztek fel az apt-ban, amit kihasználva, rosszindulatú támadók megkerülhetnek egyes biztonsági előírásokat.

A biztonsági problémát az okozza, hogy az apt a “VALIDSIG” helyett a “GOODSIG” visszatérési értéket ellenőrzi, amikor a “gpgv” parancsot futtatja a csomag ellenőrzésekor. Ez lehetővé teszi azt, hogy az apt elfogadjon lejárt vagy visszavont hitelesítéssel aláírt csomagokat.

Megjegyzés: egy további hibát fedeztek fel az apt cron scriptben, bizonyos dátumok kezelésekor. A hiba az automatikus frissítések leállítását vagy letiltását eredményezheti.

Megoldás

Frissítsen a legújabb verzióra