(résolu) une faille dans apt ?

igrec27 · 24-01-2019 14:42:45

je viens de lire qu'un pb sur apt avait été résolu;
suffit il de faire un update dans apt pour etre protégé de cette faille?

Dernière modification par igrec27 (06-02-2019 16:04:08)

smolski · 24-01-2019 14:45:57

Edit pour ne pas laisser une fausse information.

chalu a écrit :

apt -o Acquire::http::AllowRedirect=false update

apt -o Acquire::http::AllowRedirect=false upgrade

Dernière modification par smolski (25-01-2019 10:49:26)

chalu · 24-01-2019 14:46:24

igrec27 a écrit :

suffit il de faire un update dans apt pour etre protégé de cette faille?

Bonjour
oui tu fais

apt -o Acquire::http::AllowRedirect=false update

apt -o Acquire::http::AllowRedirect=false upgrade

raleur · 24-01-2019 14:54:40

igrec27 a écrit :

suffit il de faire un update dans apt pour etre protégé de cette faille?

Non, puisque la version d'apt actuellement installée est vulnérable et pourrait télécharger une version compromise lors de sa mise à jour. Cf. le sujet dans la section "News" du forum et l'annonce officielle de l'équipe de sécurité de Debian pour les précautions à prendre pour cette mise à jour.
https://www.debian.org/security/2019/dsa-4371

chalu · 24-01-2019 15:01:53

Ah oui corrigé dans mon message.

igrec27 · 24-01-2019 23:46:35

j'avais fait update et upgrade;
suite au message j'ai fait les acquire mais ca me dit 0 mise a jour etc.

Herve33 · 25-01-2019 06:56:32

Tu avais peut-être upgradé avant non ?

chalu · 25-01-2019 07:40:33

Moi j’ai eu la mise à jour avant d’entendre parler du bug, en faisant apt upgrade comme d’habitume aussi.

raleur · 25-01-2019 09:51:33

Donc il y a un (très faible) risque que vous deux ayez été victimes d'une attaque lors du téléchargement de la mise à jour d'apt, et que vos systèmes soient compromis.

smolski · 25-01-2019 10:55:52

Ajouté le cas de cette faille dans le wiki :
https://debian-facile.org/doc:systeme:a … es-paquets

pas-si-facile · 25-01-2019 11:22:34

raleur a écrit :

Donc il y a un (très faible) risque que vous deux ayez été victimes d'une attaque lors du téléchargement de la mise à jour d'apt, et que vos systèmes soient compromis.

Et comment le savoir ?

otyugh · 25-01-2019 13:06:24

Une vulnérabilité n'est pas une intrusion, et une intrusion ne crée par obligatoirement une "infection" (chépa comment appeler ça autrement : des changements fait pas un type malveillant quoi). Et une infection, on peut pas trop le savoir, parce qu'une fois qu'on est infecté par définition, l'infection peut avoir fait strictement n'importe quoi - de rien, à plein de choses déplaisantes. Ça peut aussi être une backdoor qui se déclarera des mois, voir des années après ^^'

D'où d'ailleurs mon complet scépticisme par rapport à tous les antimalware qui te mettent un icône vert "SÉCURISÉ", d'ailleurs ; si t'as été infecté... Ben faut tout reinstaller s'tu le faire selon les règles. Sans parler des infections qui touchent au mémoires internes du hardware, et là, faut carrément enlever physiquement des trucs

Dernière modification par otyugh (25-01-2019 13:09:30)

David5647 · 25-01-2019 13:41:18

La faille concerne telle uniquement apt?
quant est il de apt-get, aptitude?

apt depends aptitude

aptitude

  Dépend: aptitude-common (= 0.8.11-6)

  Dépend: libapt-pkg5.0 (>= 1.1)

  Dépend: libboost-iostreams1.67.0

  Dépend: libboost-system1.67.0

  Dépend: libc6 (>= 2.14)

  Dépend: libcwidget3v5 (>= 0.5.17-8)

  Dépend: libgcc1 (>= 1:3.0)

  Dépend: libncursesw6 (>= 6)

  Dépend: libsigc++-2.0-0v5 (>= 2.8.0)

  Dépend: libsqlite3-0 (>= 3.6.5)

  Dépend: libstdc++6 (>= 5.2)

  Dépend: libtinfo6 (>= 6)

  Dépend: libxapian30 (>= 1.4.8~)

  Recommande: libparse-debianchangelog-perl

  Recommande: sensible-utils

 |Suggère: aptitude-doc-en

  Suggère: <aptitude-doc>

    aptitude-doc-cs

    aptitude-doc-en

    aptitude-doc-es

    aptitude-doc-fi

    aptitude-doc-fr

    aptitude-doc-it

    aptitude-doc-ja

    aptitude-doc-nl

    aptitude-doc-ru

  Suggère: apt-xapian-index

  Suggère: debtags

  Suggère: tasksel

apt-get depends t'il de apt? je ne sais pas quel paquet le fourni...

raleur · 25-01-2019 13:57:55

Ne pas confondre le paquet "apt" et le programme "apt". Le programme apt-get fait partie du paquet apt, et il est concerné par la faille. Quant au programme aptitude, il ne fait pas partie du paquet apt mais il dépend de ses bibliothèques partagées donc il doit être considéré comme concerné sauf prevue du contraire.

anonyme · 25-01-2019 15:20:54

chalu a écrit :

Moi j’ai eu la mise à jour avant d’entendre parler du bug, en faisant apt upgrade comme d’habitume aussi.

moi aussi mais pas sur toutes les machines , j'ai fait le reste hier soir.

Y316 · 25-01-2019 15:33:43

Debian a écrit :

Si une mise à niveau avec APT sans redirection est impossible dans votre situation, vous pouvez télécharger manuellement les fichiers (avec wget ou curl) pour votre architecture avec les URL fournies ci-dessous, en vérifiant que les hachages correspondent. Vous pouvez ensuite les installer avec la commande dpkg -i.
source: https://www.debian.org/security/2019/dsa-4371

J'avais upgradé avant de connaître la faille, j'ai donc recommencé avec "Acquire" et cela m'a dit : "0 mise à jour".
Face à cela j'ai appliqué les consignes ci-dessus : télécharger les 8 paquets et les installer avec dpkg.
Sur l'un des paquets (j'ai oublié lequel) l'installateur a indiqué :

Lecture des listes de paquets…
Construction de l'arbre des dépendances…
Lecture des informations d'état…
Vous pouvez lancer « apt --fix-broken install » pour corriger ces problèmes.
Les paquets suivants contiennent des dépendances non satisfaites :
libapt-pkg-dev : Dépend: zlib1g-dev mais il n'est pas installé

J'ai donc installé zlib1g-dev avec "Acquire" et le paquet correspondant avec dpkg; ce qui a été fait sans problème.

Qu'en pensez-vous ?

Dernière modification par Y316 (25-01-2019 15:35:12)

raleur · 25-01-2019 17:02:36

1) Qu'il n'était pas nécessaire de télécharger et installer les 8 paquets, seulement ceux qui étaient déjà installés. Si une dépendance d'un paquet manque, cela signifie que le paquet n'était pas installé et qu'il n'y avait pas lieu de le mettre à jour. Il est très rare que les dépendances d'un paquet changent lors d'une mise à jour stable.

2) Télécharger manuellement et réinstaller les paquets avec dpkg ne garantit pas que le système est propre. Si des paquets compromis ont été installés en profitant de la faille d'apt, ils ont pu faire n'importe quoi lors de leur installation (injection d'un rootkit par exemple).

Y316 · 25-01-2019 21:02:53

Merci raleur. Je vais desinstaller ces paquets en trop que j'ai repérés (sauf erreur) avec

cat /var/log/dpkg | grep "install "

Pour revenir plus précisement au sujet il reste une question : comment vérifier au mieux que le système n'est pas corrompu ?

raleur · 25-01-2019 21:40:09

Y316 a écrit :

cat /var/log/dpkg | grep "install "

UUoC !

Y316 a écrit :

comment vérifier au mieux que le système n'est pas corrompu ?

Je ne suis pas très calé en sécurité.
La vérification des fichiers des paquets avec debsums est insuffisante si des paquets corrompus ont été installés. Dans ce cas il faut comparer les paquets installés récemment avec ceux provenant d'une source sûre.
La recherche de rootkits avec chkrootkit et rkhunter ne fait pas de mal.

Y316 · 25-01-2019 22:28:40

grep "install " /var/log/dpkg.log

:-)

Je viens de faire chkrootkit et rkhunter avec pour résultat un seul problème déjà connu : https://unix.stackexchange.com/question … -i-do-debi. Je ne pense pas que cela soit en rapport avec la faille de apt.

raleur a écrit :

Dans ce cas il faut comparer les paquets installés récemment avec ceux provenant d'une source sûre.

J'ai installé des paquets vérifiés avec dpkg qui ont été enregistrés comme celà [2019-01-25 01:09:26 upgrade apt-utils:amd64 1.4.9 1.4.9].
Est-ce que ces paquets ont été remplacés ou conservés dans l'état.

Y316 · 25-01-2019 23:02:15

J'ai une partie de la réponse mais cela ne m'éclaire pas beaucoup.

man dpkg

5. Si une autre version du même paquet a été installée avant la nouvelle installation, exécutez le script postrm de l'ancien paquet.
Notez que ce script est exécuté après le script préinst du nouveau paquetage, car les nouveaux fichiers sont écrits au même endroit lorsque les anciens fichiers sont supprimés.

Est-ce qu'une même version d'un paquet installé par dpkg est une "autre" version que celle installé par apt ?

raleur · 26-01-2019 09:40:54

Peu importe que le paquet soit installé par dpkg ou apt. La version, c'est la version, point.

igrec27 · 26-01-2019 09:48:50

je ne comprends pas bien ce que fait un upgrade de plus qu'un update.
j'ai fait un update suivi d'un upgrade avec apt
puis un acquire update suivi d'un upgrade (qui m'a dit 0 maj 0 ajout etc
pourriez ce que ces 4 actions ont fait?

raleur · 26-01-2019 09:52:25

man apt

smolski · 26-01-2019 10:17:22

Il y a aussi un tuto sur apt dans le wiki très détaillé :
https://debian-facile.org/doc:systeme:apt

Debian-facile

#1 24-01-2019 14:42:45

(résolu) une faille dans apt ?

#2 24-01-2019 14:45:57

Re : (résolu) une faille dans apt ?

#3 24-01-2019 14:46:24

Re : (résolu) une faille dans apt ?

#4 24-01-2019 14:54:40

Re : (résolu) une faille dans apt ?

#5 24-01-2019 15:01:53

Re : (résolu) une faille dans apt ?

#6 24-01-2019 23:46:35

Re : (résolu) une faille dans apt ?

#7 25-01-2019 06:56:32

Re : (résolu) une faille dans apt ?

#8 25-01-2019 07:40:33

Re : (résolu) une faille dans apt ?

#9 25-01-2019 09:51:33

Re : (résolu) une faille dans apt ?

#10 25-01-2019 10:55:52

Re : (résolu) une faille dans apt ?

#11 25-01-2019 11:22:34

Re : (résolu) une faille dans apt ?

#12 25-01-2019 13:06:24

Re : (résolu) une faille dans apt ?

#13 25-01-2019 13:41:18

Re : (résolu) une faille dans apt ?

#14 25-01-2019 13:57:55

Re : (résolu) une faille dans apt ?

#15 25-01-2019 15:20:54

Re : (résolu) une faille dans apt ?

#16 25-01-2019 15:33:43

Re : (résolu) une faille dans apt ?

#17 25-01-2019 17:02:36

Re : (résolu) une faille dans apt ?

#18 25-01-2019 21:02:53

Re : (résolu) une faille dans apt ?

#19 25-01-2019 21:40:09

Re : (résolu) une faille dans apt ?

#20 25-01-2019 22:28:40

Re : (résolu) une faille dans apt ?

#21 25-01-2019 23:02:15

Re : (résolu) une faille dans apt ?

#22 26-01-2019 09:40:54

Re : (résolu) une faille dans apt ?

#23 26-01-2019 09:48:50

Re : (résolu) une faille dans apt ?

#24 26-01-2019 09:52:25

Re : (résolu) une faille dans apt ?

#25 26-01-2019 10:17:22

Re : (résolu) une faille dans apt ?

Pied de page des forums