Vous n'êtes pas identifié(e).
Pages : 1
Hors ligne
Hors ligne
Et si cela ne fonctionne pas à cause du proxy, tu peux éditer ton fichier /etc/apt/sources.list de manière à remplacer provisoirement la ligne concernant les dépôts security par la ligne suivante :
Puis relancer les deux commandes ci-dessus. Cette fois-ci, la nouvelle version d'apt devrait s'installer.
[/me propose une location de boule de crystal à otyugh pour 20€/minute TTC (offre spéciale, voir modalités en magasin).]
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
mais si je veux installer un paquet avec la commande apt-get install ca ne fonctionne plus
exemple
apt-get install htop
je ne comprend pas trop
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Hors ligne
Hors ligne
La manip à faire, c'était le temps qu'un correctif soit appliqué. Une mise à jour d'apt était disponible dès le lendemain de l'annonce (ou le surlendemain, enfin rapidement quoi).
Dernière modification par Nsyo (31-01-2019 15:23:25)
Je comprends pas trop. Pour corriger la faille, faut juste mettre à jour apt et les paquets liés, non ?
Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Donc pour utiliser ce paquet sans risque il faut appliquer la manipulation "Acquire".
La manip à faire, c'était le temps qu'un correctif soit appliqué.
Pas vraiment; la manip à faire c'est pour utiliser le apt corrompu vulnerable sans risque.
Une fois apt mis à jour il n'y a plus de risque à l'utiliser normalement.
Dernière modification par Y316 (31-01-2019 18:02:20)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu.
Vulnérable, pas corrompu.
Corrompu, c'est ce que pourrait être un paquet téléchargé avec la version vulnérable si on n'applique pas la manipulation spéciale.
Il vaut mieux montrer que raconter.
Hors ligne
Pouvons-nous avoir potentiellement le système déjà corrompu via la vulnérabilité ?
Dans ce cas de corruption, une fois les deux correctifs envoyés, nous n'avons plus de souci à nous faire pour la suite ?
Ou bien, est-il possible que la vulnérabilité ait permis une corruption qu'il faudra traiter spécialement après l'envoi des deux commandes Acquire citées ?
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Pas bête !
Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Non, il faut utiliser les deux commandes Acquire
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Oui mais pour mettre à jour apt, il faut utiliser le paquet apt corrompu vulnerable.
Donc pour utiliser ce paquet sans risque il faut appliquer la manipulation "Acquire".
apt-get -o Acquire::http::AllowRedirect=false update
apt-get -o Acquire::http::AllowRedirect=false upgrade
-o Acquire::http::AllowRedirect=false
j'suis nonoob mais je peux au moins comprendre : http::AllowRedirect=false
:-)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Pouvons-nous avoir potentiellement le système déjà corrompu via la vulnérabilité ?
Dans ce cas de corruption, une fois les deux correctifs envoyés, nous n'avons plus de souci à nous faire pour la suite ?
Ou bien, est-il possible que la vulnérabilité ait permis une corruption qu'il faudra traiter spécialement après l'envoi des deux commandes Acquire citées ?
raleur a écrit :Si des paquets compromis ont été installés en profitant de la faille d'apt, ils ont pu faire n'importe quoi lors de leur installation (injection d'un rootkit par exemple).
Otyugh a écrit :Une vulnérabilité n'est pas une intrusion, et une intrusion ne crée par obligatoirement une "infection" (chépa comment appeler ça autrement : des changements fait pas un type malveillant quoi). Et une infection, on peut pas trop le savoir, parce qu'une fois qu'on est infecté par définition, l'infection peut avoir fait strictement n'importe quoi - de rien, à plein de choses déplaisantes. Ça peut aussi être une backdoor qui se déclarera des mois, voir des années après ^^'
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Pages : 1