Vigil@nce : apt, deux vulnérabilités
avril 2009 par Vigil@nce
Deux vulnérabilités d’apt provoquent la non installation de
paquetages ou l’installation de paquetages illicites.
– Gravité : 2/4
– Conséquences : création/modification de données, transit de données
– Provenance : serveur intranet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 22/04/2009
PRODUITS CONCERNÉS
– Debian Linux
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme apt est utilisé pour installer les paquetages, et
pour gérer les mises à jour sécurité. Il comporte deux
vulnérabilités.
Le cron /etc/cron.daily/apt ne vérifie pas le code de retour de la
commande "date" qui indique l’heure du système. Lors d’un
changement d’heure été/hivers, une erreur se produit alors et les
paquetages ne sont pas mis à jour. [grav:2/4 ; 354793, 523213,
CVE-2009-1300]
Le programme apt utilise gpgv pour vérifier la signature des
paquets. La commande gpgv retourne VALIDSIG si la signature est
valide, et GOODSIG si la signature est valide et utilise une clé
valide. Cependant, apt vérifie VALIDSIG au lieu de GOODSIG. Les
paquets signés avec une clé expirée ou révoquée sont donc
acceptés. [grav:2/4 ; 356012, BID-34630, CVE-2009-1358]
CARACTÉRISTIQUES
– Références : 354793, 356012, 523213, BID-34630, CVE-2009-1300,
CVE-2009-1358, DSA 1779-1, VIGILANCE-VUL-8659
– Url : http://vigilance.fr/vulnerabilite/apt-deux-vulnerabilites-8659