faille de securité

allann · 31-01-2019 11:29:05

bonjour,

je suis dans une entreprise nous avons plusieurs debian derriere un proxy
je comprends pas comment mettre a jour et appliquer la methode pour corriger la faille de sécurité

https://www.debian.org/security/2019/dsa-4371

otyugh · 31-01-2019 12:15:23

Si tu ne dis pas où tu coinces en faisant quoi, on a pas de boule de cristal.

captnfab · 31-01-2019 12:21:34

Bonjour,

Donc, dans l'ordre, tu peux essayer de faire ça :

apt-get -o Acquire::http::AllowRedirect=false update

apt-get -o Acquire::http::AllowRedirect=false upgrade

Et si cela ne fonctionne pas à cause du proxy, tu peux éditer ton fichier /etc/apt/sources.list de manière à remplacer provisoirement la ligne concernant les dépôts security par la ligne suivante :

deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main

Puis relancer les deux commandes ci-dessus. Cette fois-ci, la nouvelle version d'apt devrait s'installer.

[/me propose une location de boule de crystal à otyugh pour 20€/minute TTC (offre spéciale, voir modalités en magasin).]

allann · 31-01-2019 12:52:39

bonjour,

J'ai bien ajouté la ligne suivante deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main
dans mon fichier /etc/apt/sources.list

puis executer

apt-get -o Acquire::http::AllowRedirect=false update
apt-get -o Acquire::http::AllowRedirect=false upgrade

ma question est la suivante dans mon fichier /etc/apt/sources.list

dans mon fichier j'ai tout mis en commentaire sauf la ligne

# deb cdrom:[Debian GNU/Linux 8.1.0 _Jessie_ - Official i386 NETINST Binary-1 20150606-12:58]/ jessie main

#deb cdrom:[Debian GNU/Linux 8.1.0 _Jessie_ - Official i386 NETINST Binary-1 20150606-12:58]/ jessie main

#deb http://ftp.fr.debian.org/debian/ jessie main

#deb-src http://ftp.fr.debian.org/debian/ jessie main

#deb http://security.debian.org/ jessie/updates main

#deb-src http://security.debian.org/ jessie/updates main

# jessie-updates, previously known as 'volatile'

#deb http://ftp.fr.debian.org/debian/ jessie-updates main

#deb-src http://ftp.fr.debian.org/debian/ jessie-updates main

#deb http://download.openvz.org/debian Jessie  main

deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main

mais si je veux installer un paquet avec la commande apt-get install ca ne fonctionne plus

exemple

apt-get install htop

je ne comprend pas trop

raleur · 31-01-2019 14:08:38

Qu'est-ce que tu ne comprends pas ? Que tu ne peux rien installer depuis que tu as commenté tous les dépôts ?

allann · 31-01-2019 14:26:24

oui si une personne veux installer un paquet il ne pourra plus avec apt-get install
c'est bien ca ??

vv222 · 31-01-2019 14:35:02

Si tu ne souhaites pas empêcher l’installation de paquets depuis le réseau, pourquoi as-tu désactivé les dépôts ?
Si c’était juste le temps des commandes de dépannage proposées par captnfab, tu peux maintenant les réactiver sans souci.

allann · 31-01-2019 14:44:56

Sincerement je comprends pas trop c'est pas clair

je vous explique mon soucis

je suis dans une entreprise seule au service informatique le responsable me demande d'appliquer et de corriger la faille apt qu'on lui a transmis

j'ai 8 serveurs debian 8 qui sont dans un reseau derriere un proxy donc dans mon fichier /etc/apt/apt.conf j'ai l'adresse
du proxy
Acquire::http::Proxy "http://192.xxx.xx.xx:8070";

qu'est ce que je dois faire pour corriger la faille apt sur mes serveurs

Merci d votre aide

Nsyo · 31-01-2019 15:23:04

Salut !

Je comprends pas trop. Pour corriger la faille, faut juste mettre à jour apt et les paquets liés, non ?

apt update && apt upgrade

La manip à faire, c'était le temps qu'un correctif soit appliqué. Une mise à jour d'apt était disponible dès le lendemain de l'annonce (ou le surlendemain, enfin rapidement quoi).

Dernière modification par Nsyo (31-01-2019 15:23:25)

Y316 · 31-01-2019 17:06:53

Nsyo a écrit :

Je comprends pas trop. Pour corriger la faille, faut juste mettre à jour apt et les paquets liés, non ?

Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Donc pour utiliser ce paquet sans risque il faut appliquer la manipulation "Acquire".

Nsyo a écrit :

La manip à faire, c'était le temps qu'un correctif soit appliqué.

Pas vraiment; la manip à faire c'est pour utiliser le apt corrompu vulnerable sans risque.
Une fois apt mis à jour il n'y a plus de risque à l'utiliser normalement.

Dernière modification par Y316 (31-01-2019 18:02:20)

raleur · 31-01-2019 17:13:11

Y316 a écrit :

Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu.

Vulnérable, pas corrompu.
Corrompu, c'est ce que pourrait être un paquet téléchargé avec la version vulnérable si on n'applique pas la manipulation spéciale.

smolski · 31-01-2019 18:05:58

La question est que si on a fait une mise à jour des paquets avant d'avoir envoyé le correctif :

apt-get -o Acquire::http::AllowRedirect=false update

apt-get -o Acquire::http::AllowRedirect=false upgrade

Pouvons-nous avoir potentiellement le système déjà corrompu via la vulnérabilité ?
Dans ce cas de corruption, une fois les deux correctifs envoyés, nous n'avons plus de souci à nous faire pour la suite ?
Ou bien, est-il possible que la vulnérabilité ait permis une corruption qu'il faudra traiter spécialement après l'envoi des deux commandes Acquire citées ?

Nsyo · 31-01-2019 18:10:34

Y316 a écrit :

Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.

Pas bête !

smolski · 31-01-2019 18:34:54

Y316o a écrit :

Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.

Non, il faut utiliser les deux commandes Acquire

Y316 · 31-01-2019 19:31:14

Y316 a écrit :

Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Donc pour utiliser ce paquet sans risque il faut appliquer la manipulation "Acquire".

apt-get -o Acquire::http::AllowRedirect=false update
apt-get -o Acquire::http::AllowRedirect=false upgrade

-o Acquire::http::AllowRedirect=false
j'suis nonoob mais je peux au moins comprendre : http::AllowRedirect=false

:-)

Y316 · 31-01-2019 19:44:23

smolsky a écrit :

Pouvons-nous avoir potentiellement le système déjà corrompu via la vulnérabilité ?
Dans ce cas de corruption, une fois les deux correctifs envoyés, nous n'avons plus de souci à nous faire pour la suite ?
Ou bien, est-il possible que la vulnérabilité ait permis une corruption qu'il faudra traiter spécialement après l'envoi des deux commandes Acquire citées ?

raleur a écrit :
Si des paquets compromis ont été installés en profitant de la faille d'apt, ils ont pu faire n'importe quoi lors de leur installation (injection d'un rootkit par exemple).
Otyugh a écrit :
Une vulnérabilité n'est pas une intrusion, et une intrusion ne crée par obligatoirement une "infection" (chépa comment appeler ça autrement : des changements fait pas un type malveillant quoi). Et une infection, on peut pas trop le savoir, parce qu'une fois qu'on est infecté par définition, l'infection peut avoir fait strictement n'importe quoi - de rien, à plein de choses déplaisantes. Ça peut aussi être une backdoor qui se déclarera des mois, voir des années après ^^'
https://debian-facile.org/viewtopic.php?id=23511

Debian-facile

#1 31-01-2019 11:29:05

faille de securité

#2 31-01-2019 12:15:23

Re : faille de securité

#3 31-01-2019 12:21:34

Re : faille de securité

#4 31-01-2019 12:52:39

Re : faille de securité

#5 31-01-2019 14:08:38

Re : faille de securité

#6 31-01-2019 14:26:24

Re : faille de securité

#7 31-01-2019 14:35:02

Re : faille de securité

#8 31-01-2019 14:44:56

Re : faille de securité

#9 31-01-2019 15:23:04

Re : faille de securité

#10 31-01-2019 17:06:53

Re : faille de securité

#11 31-01-2019 17:13:11

Re : faille de securité

#12 31-01-2019 18:05:58

Re : faille de securité

#13 31-01-2019 18:10:34

Re : faille de securité

#14 31-01-2019 18:34:54

Re : faille de securité

#15 31-01-2019 19:31:14

Re : faille de securité

#16 31-01-2019 19:44:23

Re : faille de securité

Pied de page des forums