[linux-neuchatel] Vulnérabilité APT

Marc SCHAEFER schaefer at alphanet.ch
Fri Jan 25 08:39:09 CET 2019


Bonjour,

en particulier avec un /etc/apt/sources.list contenant des URLs HTTP,
un bug d'APT fait qu'un attaquant situé entre vous et vos miroirs
Debian peut faire un redirect qui par injection d'entêtes HTTP peut
provoquer l'installation d'un cheval de Troie potentiel, passant
outre les signatures de packages.

Même s'il n'y a pas encore d'attaque documentée, il faut mettre à jour.
Mais mettre à jour pourrait potentiellement introduire un trojan.

Faites ainsi:

  apt -o Acquire::http::AllowRedirect=false update
  apt -o Acquire::http::AllowRedirect=false upgrade

Dans certains cas cela peut produire des mises en garde, l'essentiel
est que cela fasse la mise à jour des composants APT. Si cela ne fait
pas la mise à jour des composants APT, c'est soit que vous avez
des mises à jour automatiques configurées (donc c'est trop tard :->),
ou qu'il y a un problème car une des entrées sources.list nécessaires
est un redirect. Il faut donc la changer pour une entrée sans redirect.

Ensuite vous pouvez contrôler que tout est bon en lançant comme
d'habitude:

   apt-get update && apt-get -u dist-upgrade; apt-get clean; checkrestart

ce qui ne devrait pas installer de composant APT, mais éventuellement
d'autres mises à jour récentes (p.ex. systemd).




More information about the linux-neuchatel mailing list