S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 août 2005
N° CERTA-2005-AVI-296
Affaire suivie par: CERT-FR
le 05 août 2005

Avis du CERT-FR

Objet: Vulnérabilité de apt-cacher

Gestion du document

Référence CERTA-2005-AVI-296
Titre Vulnérabilité de apt-cacher
Date de la première version 05 août 2005
Date de la dernière version 05 août 2005
Source(s) Référence CVE : CAN-2005-1854
Avis Debian 2005/DSA-772
Avis Debian 2005/DSA-772
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

  • Debian GNU/Linux 3.1 alias Sarge ;
  • Debian GNU/Linux unstable alias Sid ;
  • version de apt-cacher antérieure à 0.9.10.

Description

La mise à jour d'un système d'exploitation Debian par le réseau, consiste notamment à télécharger sur les sites dédiés à la maintenance les mises à jours disponibles sous la forme de fichiers paquetages (fichiers dont le nom porte l'extenion .deb) ou de fichiers sources.

apt-cacher est un logiciel qui met en œuvre un cache pour les paquets téléchargés. Sur un site regroupant plusieurs machines Debian, l'utilisation d'un tel cache a pour objectif d'optimiser la connexion à l'Internet.

La version de apt-cacher a une vulnérabilité qui permet à un utilisateur mal intentionné distant de faire exécuter n'importe quelle commande à un système vulnérable.

Solution

La version 0.9.10 de apt-cacher corrige la vulnérabilité.

Documentation

Gestion détaillée du document

    le 05 août 2005
    version initiale.