[quote=“www.cert.ssi.gouv.fr : CERTFR-2014-ACT-038”]…
Le 16 septembre 2014, les distributions Linux Debian et Ubuntu proposent une mise à jour de sécurité visant leur outil interne de gestion de paquets « apt ».
Cinq failles de sécurité (CVE-2014-0487, CVE-2014-0488, CVE-2014-0489 et CVE-2014-0490) ont été corrigées dans cette nouvelle version et sont toutes en relation avec la vérification des condensats lors de la validation des données téléchargées.
Les corrections apportées sont les suivantes :
CVE-2014-0487 : corrige l'absence de vérification des condensats dans le cas où le paquet du dépôt distant a été précédemment téléchargé localement et que les versions (entre le dépôt distant et le système de fichiers) sont les mêmes. Avec cette correction, le système s'assure que le fichier local n'a pas été corrompu ;
CVE-2014-0488 : corrige le comportement du code lorsqu'un dépôt passe du statut non authentifié au statut authentifié. Tous les paquets téléchargés avant authentification du dépôt distant sont supprimés ;
CVE-2014-0489 : corrige le comportement du code lorsque l'option « Acquire::GzipIndexes » par défaut désactivée est précisée. Auparavant, dans le cas où l'option a été définie, le code n'effectuait pas la vérification des condensats ;
CVE-2014-0490 : corrige le comportement du code lorsqu'un téléchargement de paquets est réalisé manuellement grâce à la commande « apt-get download ». Auparavant, aucune vérification des condensats n'était effectuée. Après cette modification, un message d'erreur est affiché sur la console.
Le CERT-FR recommande donc aux utilisateurs de ces distributions Linux d’appliquer ces mises à jour afin de garantir l’intégrité des paquets qui sont installés sur une machine.
…[/quote]