{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"APT versions ant\u00e9rieures \u00e0 1.4.9 sur Debian","product":{"name":"N/A","vendor":{"name":"Debian","scada":false}}},{"description":"APT sans le dernier correctif de s\u00e9curit\u00e9 sur Ubuntu 12.04 ESM, 14.04 LTS, 16.04 LTS, 18.04 LTS et 18.10","product":{"name":"Ubuntu","vendor":{"name":"Ubuntu","scada":false}}},{"description":"Les distributions Linux utilisant APT comme gestionnaire de paquets","product":{"name":"N/A","vendor":{"name":"Debian","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-02-27","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nUniquement dans le cadre de cette mise \u00e0 jour, Debian recommande de\nd\u00e9sactiver les redirections par les commandes suivantes :\n\n\\[pastacode lang=\"bash\"\nmanual=\"apt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20update%3B%0Aapt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20upgrade\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n\nToutefois, cela peut ne pas fonctionner lorsque l'on est plac\u00e9 derri\u00e8re\nun proxy et que l'on cherche \u00e0 atteindre le miroir\u00a0security.debian.org.\n\nDans ce cas, il est possible d'utiliser la source suivante\n:\u00a0\n\nSi la mise \u00e0 jour d'APT sans la d\u00e9sactivation des redirections est\nimpossible, il est alors recommand\u00e9 de t\u00e9l\u00e9charger manuellement le\npaquet. Il convient ensuite d'effectuer la v\u00e9rification d'int\u00e9grit\u00e9\navant de l'installer.\n","cves":[{"name":"CVE-2019-3462","url":"https://www.cve.org/CVERecord?id=CVE-2019-3462"}],"links":[{"title":"Avis du CERT-FR CERTFR-2019-AVI-030 du 22 janvier 2019","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-030/"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu usn-3863-1 du 22 janvier 2019","url":"https://usn.ubuntu.com/3863-1/"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu usn-3863-2 du 22 janvier 2019","url":"https://usn.ubuntu.com/3863-2/"}],"reference":"CERTFR-2019-ALE-001","revisions":[{"description":"Version initiale","revision_date":"2019-01-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2019-02-27T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 22 janvier 2019, Debian a publi\u00e9 un avis de s\u00e9curit\u00e9 indiquant que\nleur gestionnaire de paquets \u00e9tait vuln\u00e9rable \u00e0 une injection de code.\n\nPar d\u00e9faut, les mises \u00e0 jour sont r\u00e9cup\u00e9r\u00e9es en HTTP. Toutefois des\nv\u00e9rifications sont effectu\u00e9es en local afin de v\u00e9rifier l'int\u00e9grit\u00e9 des\nfichiers r\u00e9cup\u00e9r\u00e9s.\n\nUn attaquant en position d'intercepteur actif (*Man In The Middle*) peut\ninjecter un paquet malveillant qui sera consid\u00e9r\u00e9 comme valide. Cette\nvuln\u00e9rabilit\u00e9 n'est pr\u00e9sente que dans le cadre de l'utilisation de\nredirections par APT.\n\nLe logiciel APT s'ex\u00e9cute avec un niveau de privil\u00e8ge \u00e9lev\u00e9, une attaque\nr\u00e9ussie garanti donc \u00e0 l'attaquant une compromission totale du syst\u00e8me.\n\nIl s'agit donc d'une vuln\u00e9rabilit\u00e9 s\u00e9rieuse, d'autant plus qu'elle\nimpacte directement le m\u00e9canisme de mise \u00e0 jour. Il est n\u00e9cessaire\nd'appliquer le correctif tout en minimisant les risques d'exploitation.\n\n\u00a0\n","title":"Vuln\u00e9rabilit\u00e9 dans le gestionnaire de paquets APT","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Debian du 22 janvier 2019","url":"https://lists.debian.org/debian-security-announce/2019/msg00010.html"}]}