Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Debian GNU/Linux 3.1 alias Sarge ;
  • Debian GNU/Linux unstable alias Sid ;
  • version de apt-cacher antérieure à 0.9.10.

Description

La mise à jour d'un système d'exploitation Debian par le réseau, consiste notamment à télécharger sur les sites dédiés à la maintenance les mises à jours disponibles sous la forme de fichiers paquetages (fichiers dont le nom porte l'extenion .deb) ou de fichiers sources.

apt-cacher est un logiciel qui met en œuvre un cache pour les paquets téléchargés. Sur un site regroupant plusieurs machines Debian, l'utilisation d'un tel cache a pour objectif d'optimiser la connexion à l'Internet.

La version de apt-cacher a une vulnérabilité qui permet à un utilisateur mal intentionné distant de faire exécuter n'importe quelle commande à un système vulnérable.

Solution

La version 0.9.10 de apt-cacher corrige la vulnérabilité.

Documentation