Vulnérabilité de apt-cacher

Gestion du document

Référence	CERTA-2005-AVI-296
Titre	Vulnérabilité de apt-cacher
Date de la première version	05 août 2005
Date de la dernière version	05 août 2005
Source(s)	Avis Debian 2005/DSA-772 Référence CVE : CAN-2005-1854
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire

Systèmes affectés

Debian GNU/Linux 3.1 alias Sarge ;
Debian GNU/Linux unstable alias Sid ;
version de apt-cacher antérieure à 0.9.10.

Description

La mise à jour d'un système d'exploitation Debian par le réseau, consiste notamment à télécharger sur les sites dédiés à la maintenance les mises à jours disponibles sous la forme de fichiers paquetages (fichiers dont le nom porte l'extenion .deb) ou de fichiers sources.

apt-cacher est un logiciel qui met en œuvre un cache pour les paquets téléchargés. Sur un site regroupant plusieurs machines Debian, l'utilisation d'un tel cache a pour objectif d'optimiser la connexion à l'Internet.

La version de apt-cacher a une vulnérabilité qui permet à un utilisateur mal intentionné distant de faire exécuter n'importe quelle commande à un système vulnérable.

Solution

La version 0.9.10 de apt-cacher corrige la vulnérabilité.

Documentation

Référence CVE : CAN-2005-1854

https://www.cve.org/CVERecord?id=CAN-2005-1854

Avis de sécurité Debian :

http://www.debian.org/security/2005/dsa-772

Avis du CERT-FR