Debian MAJ du systeme

Hello,

Suite à la vulnérabilité découverte sur apt, impactant aussi apt-get, l’équipe de sécu de Debian à mis à jour le système de paquet. Pour faire simple, apt utilise HTTPS et HTTP, HTTP pour vérifier la validité des sources de paquets et définir le lien de téléchargement. Il était donc possible pour un attaquant de définir une URL de téléchargement modifié et d’installer un payload sans que apt ne s’en rende compte tout en croyant installer le bon paquet, à condition bien sur de contrôler un serveur de repo.

Pour faire la MAJ en toute sécurité du coup, il faut désactiver les redirections HTTP du gestionnaire de paquet. La manipulation cité ici est issue du blog de Debian, qui ont eux même repris les indications du gars qui à découvert la Vuln. D’ailleurs une image Docker avec les instructions du PoC et les détails complets de sa découverte sont disponibles sur son blog si on veut essayer soit même. (Lien en fin d’article)

Vous étiez protégé et pas impacté si vous utilisiez déjà :
apt-transport-https

Mettre à jour :
sudo apt update -o Acquire::http::AllowRedirect=false
sudo apt upgrade -o Acquire::http::AllowRedirect=false

Niveau sécu pour Debian ces derniers temps entre systemd et now apt, ça y vas fort !
Ça me donne bien envie de tester “Devuan” en tout cas.

Mais comme d’hab pas de fatalités, gardez simplement vos systèmes à jours et ça devrait aller !


https://justi.cz/security/2019/01/22/apt-rce.html
https://www.debian.org/News/2019/20190123