forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено opennews, 17-Сен-14 23:44

Разработчики Debian (https://www.debian.org/security/2014/dsa-3025) и Ubuntu (http://www.ubuntu.com/usn/usn-2348-1/) выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:

-  CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;
-  CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download";
-  CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
-  CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.

URL: https://www.debian.org/security/2014/dsa-3025
Новость: https://www.opennet.ru/opennews/art.shtml?num=40620

Исходное сообщение
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..." Отправлено opennews, 17-Сен-14 23:44
Разработчики Debian (https://www.debian.org/security/2014/dsa-3025) и Ubuntu (http://www.ubuntu.com/usn/usn-2348-1/) выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов: - CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла; - CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download"; - CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации; - CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы. URL: https://www.debian.org/security/2014/dsa-3025 Новость: https://www.opennet.ru/opennews/art.shtml?num=40620

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики Debian (https://www.debian.org/security/2014/dsa-3025) и Ubuntu (http://www.ubuntu.com/usn/usn-2348-1/) 
> выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, 
> в результате которых можно обойти процесс проверки целостности и источника пакетов:

> -  CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе 
> с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;

> -  CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет 
> загружен с использованием команды "apt download"; 
> -  CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий 
> переключен из состояния без аутентификации в состояние, требующее аутентификации; 
> -  CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит 
> к пропуску проверки контрольной суммы.

> URL: https://www.debian.org/security/2014/dsa-3025 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=40620

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру