alerte sécurité concernant APT

Tous les sujets touchant à la sécurité du système.
Répondre
Avatar du membre
Grompf
Messages : 530
Enregistré le : ven. 8 janv. 2016 23:23
Localisation : Suisse (Canton de Vaud)

alerte sécurité concernant APT

Message par Grompf » mar. 22 janv. 2019 19:40

https://www.cert.ssi.gouv.fr/alerte/CER ... 9-ALE-001/

"Le 22 janvier 2019, Debian a publié un avis de sécurité indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.

Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l'intégrité des fichiers récupérés.

Un attaquant en position d'intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n'est présente que dans le cadre de l'utilisation de redirections par APT.

Le logiciel APT s'exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l'attaquant une compromission totale du système.

Il s'agit donc d'une vulnérabilité sérieuse, d'autant plus qu'elle impacte directement le mécanisme de mise à jour. Il est nécessaire d'appliquer le correctif tout en minimisant les risques d'exploitation."

C'est chaud, non ?
CONFIGURATION :
  • 1. Lenovo Thinkpad X220 i5 - carte graphique Intel Corporation (2nd generation Core...) - Linux Mint Cinnamon 19.1
    2. Lenovo Thinkpad T510 i7 - carte graphique : NVIDIA GT218M (NVS 3100M) - Linux Mint Mate 19.1

Avatar du membre
cyrille
Messages : 2774
Enregistré le : mar. 19 sept. 2017 08:49
Localisation : Nord - Avesnois
Contact :

Re: alerte sécurité concernant APT

Message par cyrille » mar. 22 janv. 2019 20:39

No need to panic

En janvier 2019, l'Union européenne ouvre la chasse aux failles dans les logiciels libres.

https://www.april.org/en-janvier-2019-l ... els-libres

On est sauvés ...
# Me : DELL Lat E5430, SSD, 64-bit, RAM 8Go [ FreeBSD 12.0, xfce / Openbox ; DEBIAN SID via VirtualBox] | E7440, SSD, amd64, RAM 8Go [ DEBIAN SID, xfce]
# Work : Serveur HP ProLiant ML 310e Gen 8 v2, DEBIAN STABLE | Parc DELL Lat E6* LINUX MINT, 18.3 Sylvia, amd64, XFCE.

All you need : #!/bin/bash | SVP les chiants pas de MP...

Avatar du membre
alain
Messages : 6077
Enregistré le : dim. 11 oct. 2015 23:41
Localisation : Chelles
Contact :

Re: alerte sécurité concernant APT

Message par alain » mar. 22 janv. 2019 21:01

Grompf a écrit :
mar. 22 janv. 2019 19:40
Il est nécessaire d'appliquer le correctif
S'il existe, ou est le soucis ?

L'avantage dans le libre, c'est que les problèmes de sécurité et donc leur résolution sont détectés
et corrigés rapidement, je ne citerai pas de nom, mais y en a qui traînent des failles depuis des années
voir des décennies :l
In a world without walls and fences, who needs windows and gates?
Image
Taille réelle : https://www.fflmpics.fr/images/2019/05/ ... iere09.png

Avatar du membre
zeb
Administrateur du site
Messages : 14454
Enregistré le : ven. 19 juin 2015 22:13
Localisation : Au pays du mistral

Re: alerte sécurité concernant APT

Message par zeb » mar. 22 janv. 2019 21:56

Salut,
Sur LMDE3 j'ai eu une mise a jour de secu cette aprem ;)
Voir la ligne sélectionnée et celles au dessus !
Image
LMDE3 Cinnamon 64-bit + LMDE3 Xfce.
Proc: intel I5 4440, Cm: Gigabyte GA-B85M-D3H, Alim: Corsair CX Bronze 430 W, Ram: Crucial Ballistix Sport, 2 x 2 Go.
SSD: 2.5 sandisk ultra+ 64 Go pour /+home, DD: Seagate Barracuda 500 Go pour mes données persos, DD maxtor 160 Go pour la sauvegarde ciblée via luckybackup.
Impr: HP Envy 4502.

Avatar du membre
Grompf
Messages : 530
Enregistré le : ven. 8 janv. 2016 23:23
Localisation : Suisse (Canton de Vaud)

Re: alerte sécurité concernant APT

Message par Grompf » mar. 22 janv. 2019 23:17

Là, j'ai une mise à jour, concernant entre autres apt.
Mais je n'ai pas compris la question des redirections. Moi, mes sources pointent vers des miroirs en Allemagne (et non vers les sites principaux d'Ubuntu et de Linux Mint).
Est-ce que je dois changer qqch avant de faire cette mise à jour ?

Je cite :
Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes :

Code : Tout sélectionner

apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade
Toutefois, cela peut ne pas fonctionner lorsque l'on est placé derrière un proxy et que l'on cherche à atteindre le miroir security.debian.org.

Dans ce cas, il est possible d'utiliser la source suivante : http://security-cdn.debian.org/debian-security/

Si la mise à jour d'APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d'effectuer la vérification d'intégrité avant de l'installer.
Je fais quoi ? Je mets à jour sans autres ou je change qqch ?
CONFIGURATION :
  • 1. Lenovo Thinkpad X220 i5 - carte graphique Intel Corporation (2nd generation Core...) - Linux Mint Cinnamon 19.1
    2. Lenovo Thinkpad T510 i7 - carte graphique : NVIDIA GT218M (NVS 3100M) - Linux Mint Mate 19.1

Avatar du membre
jokaru
Messages : 82
Enregistré le : lun. 11 juil. 2016 17:48

Re: alerte sécurité concernant APT

Message par jokaru » mer. 23 janv. 2019 02:04

très :oops:
System:Host:KKernel: 4.15.0-43-generic x86_64 bits: 64
Desktop: Cinnamon 4.0.8 , Linux Mint 19.1 Tessa base: Ubuntu 18.04 bionic
Thomson model: NEO15C-4BK500, CPU Intel Celeron N3350 bits: 64 type

Avatar du membre
alain
Messages : 6077
Enregistré le : dim. 11 oct. 2015 23:41
Localisation : Chelles
Contact :

Re: alerte sécurité concernant APT

Message par alain » mer. 23 janv. 2019 05:17

Bonjour Grompf.
Cette vulnérabilité n'est présente que dans le cadre de l'utilisation de redirections par APT.
Si tu n'utilise pas de redirections par APT, ce dont je suis quasiment certain. Cela ne te concerne pas (comme nous tous).
Tu peux faire la mise à jour d'APT sans soucis.
La localisation des miroirs n'a aucun impact sur cette mise à jour. Sauf que suivant le miroir utilisé, tu l'auras
plus ou moins rapidement. Ceux d'Allemagne, ne sont pas plus mauvais que d'autres. Le principal c'est qu'ils ne soient
pas plantés...

En revanche, je ne comprends pas pourquoi: «Cette vulnérabilité n'est présente que dans le cadre de l'utilisation de redirections par APT.»
Ni pourquoi le fait de supprimer ces redirections ou de télécharger la mise à jour manuellement, serait différent du cas (grandement
majoritaire) ou il n' y a pas de redirection... :l
Mais bon, je n'y connais pas grand chose en informatique, peut être qu'un des spécialistes du forum pourra nous le dire?
(heu les gars....Si c'est simple, sinon si c'est trop complexe, je ne vous en voudrai pas de vous abstenir :l :D )

En tout cas, tu ne risquais rien avec cette faille, qui ne te concernait pas, comme la très grande majorité des gens.
Tu as juste réussi a effrayer Jokaru :lol:
In a world without walls and fences, who needs windows and gates?
Image
Taille réelle : https://www.fflmpics.fr/images/2019/05/ ... iere09.png

Avatar du membre
Grompf
Messages : 530
Enregistré le : ven. 8 janv. 2016 23:23
Localisation : Suisse (Canton de Vaud)

Re: alerte sécurité concernant APT

Message par Grompf » mer. 23 janv. 2019 05:53

OK
Merci
CONFIGURATION :
  • 1. Lenovo Thinkpad X220 i5 - carte graphique Intel Corporation (2nd generation Core...) - Linux Mint Cinnamon 19.1
    2. Lenovo Thinkpad T510 i7 - carte graphique : NVIDIA GT218M (NVS 3100M) - Linux Mint Mate 19.1

Répondre