Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-01-2019 21:49:58

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Grosse faille de sécurité dans APT - le patch arrive

Yop,
https://www.zdnet.fr/actualites/un-mech … 879689.htm

Hé bhé, espérons que ça sera pas exploité. hmm

Agenda du libre : venez aider et vous faire aider !
Arzano Informatique : mon entreprise gagne-pain.
Ma contribution au datalove

Hors ligne

#2 23-01-2019 22:16:01

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Grosse faille de sécurité dans APT - le patch arrive

Merci à toi pour l'info smile

otyugh a écrit :

Hé bhé, espérons que ça sera pas exploité.

Pas grave, les débianistes sont des gens serieurx qui mettent à jours rapidement leurs machines tongue La fin de l'article indique d'ailleurs que la question n'est pas de savoir si ça sera exploité, mais quand big_smile

A noter, les commande pour la mise à jour qui évite l'exploitation de cette faille

 apt -o Acquire::http::AllowRedirect=false update


apt -o Acquire::http::AllowRedirect=false upgrade



Ça peut poser un problème à ceux qui utilisent un proxy, mais la solution est dans l'article.

Edit : ça me semble suffisamment important pour se trouver dans la section News, donc, je déplace smile

Edit à toto : Modif faite - Séparation de chaque commande.


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#3 23-01-2019 22:20:49

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Et si on a https du coup ? C’est pareil ? Les mêmes commandes ?

Hors ligne

#4 23-01-2019 22:33:22

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Grosse faille de sécurité dans APT - le patch arrive

chalu a écrit :

Et si on a https du coup ?

Je dirais que oui, moyennant de remplacer http par https dans la commande au vue de la page man. Mais c'est juste le temps de faire la mise à jour de apt, même si je ne suis pas certain que ça soit déjà arrivé en Stable-security, ça semble être uniquement dans proposed-update de ce que je crois comprendre hmm https://tracker.debian.org/pkg/apt

Edit, ah, non, j'avais pas vu que c'était en stable 2 lignes avant, et ce depuis hier déjà tongue


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#5 24-01-2019 07:11:59

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Bonjour,
je crois que c'est corrigé smile
Publication de la mise à jour de Debian 9.7 : https://www.debian.org/News/2019/20190123

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#6 24-01-2019 07:19:07

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Ok merci smile
Hier j’ai eu la maj base-files effectivement et la veille d’autres maj mais je ne me souviens plus si apt était dans le lot.
Il faut que je recherche comment avoir l’historique des paquets installés ou mis à jour wink

Suite à ce fil, j’ai passé mes dépôts en https. Je ne l’avais pas fait mais bien que l’efficacité soit en question d'après l’article, j’ai noté que il n’aurait pas pu réussir son test si les dépôts avaient été https, enfin à ce que je comprends.

Hors ligne

#7 24-01-2019 07:27:23

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Coucou chalu
oui j'ai eu une mise à jour il y a 2 jours et Apt était bien dedans. Pour l'historique si tu as Synaptic tu as un onglet historique où tu peux lister les fichiers mis à jours par date.

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#8 24-01-2019 07:52:50

pas-si-facile
Membre
Lieu : Paris
Distrib. : Debian 9 stable
Noyau : Linux 4.9.0-8-amd64
(G)UI : Xfce
Inscription : 09-01-2019

Re : Grosse faille de sécurité dans APT - le patch arrive

Confirmation : apt et ses librairies étaient dans les mises à jour d'hier. smile

Hors ligne

#9 24-01-2019 11:25:09

phlinux
Membre
Lieu : S-M
Distrib. : Jessie
Noyau : 4.9
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : Grosse faille de sécurité dans APT - le patch arrive

Bjr,
Sur Jessie aussi

[11:24]phlinux:~ $ apt-cache policy apt
apt:
  Installé : 1.0.9.8.5
  Candidat : 1.0.9.8.5
 Table de version :
 *** 1.0.9.8.5 0
        500 http://security.debian.org/ jessie/updates/main i386 Packages
        100 /var/lib/dpkg/status
     1.0.9.8.4 0
        500 http://deb.debian.org/debian/ jessie/main i386 Packages
     0.9.7.9+deb7u7 0
        500 http://ftp.fr.debian.org/debian/ wheezy/main i386 Packages


Pages perso : feh, omegat, udisks, sa station de travail comme passerelle

Hors ligne

#10 24-01-2019 11:34:32

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Fedora/Debian Sid
Noyau : Current
(G)UI : Gnome/Xfce
Inscription : 08-10-2013

Re : Grosse faille de sécurité dans APT - le patch arrive

Toutes les versions de debian sont patché smile

apt-cache policy apt



apt:
  Installé : 1.8.0~beta1
  Candidat : 1.8.0~beta1
 Table de version :
 *** 1.8.0~beta1 500
        500 http://deb.debian.org/debian sid/main amd64 Packages
        100 /var/lib/dpkg/status
     1.8.0~alpha3.1 500
        500 http://deb.debian.org/debian testing/main amd64 Packages
 


Ce n'est pas un signe de bonne santé mentale d'être bien adapté à une société malade -Cit. Jiddu Krishnamurti

Hors ligne

#11 24-01-2019 11:37:48

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Grosse faille de sécurité dans APT - le patch arrive

ce matin sur stretch


apt list --upgradable
 



En train de lister... Fait
apt/stable,stable 1.4.9 amd64 [upgradable from: 1.4.8]
apt-utils/stable,stable 1.4.9 amd64 [upgradable from: 1.4.8]
base-files/stable 9.9+deb9u7 amd64 [upgradable from: 9.9+deb9u6]
libapt-inst2.0/stable,stable 1.4.9 amd64 [upgradable from: 1.4.8]
libapt-pkg5.0/stable,stable 1.4.9 amd64 [upgradable from: 1.4.8]
 



apt-get upgrade
 



Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
Les paquets suivants seront mis à jour :
  apt apt-utils base-files libapt-inst2.0 libapt-pkg5.0
5 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 2 818 ko dans les archives.
Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n]
Réception de:1 http://security.debian.org/debian-security stretch/updates/main amd64 libapt-pkg5.0 amd64 1.4.9 [916 kB]
Réception de:2 http://deb.debian.org/debian stretch/main amd64 base-files amd64 9.9+deb9u7 [67,4 kB]
Réception de:3 http://security.debian.org/debian-security stretch/updates/main amd64 libapt-inst2.0 amd64 1.4.9 [192 kB]
Réception de:4 http://security.debian.org/debian-security stretch/updates/main amd64 apt amd64 1.4.9 [1 232 kB]
Réception de:5 http://security.debian.org/debian-security stretch/updates/main amd64 apt-utils amd64 1.4.9 [410 kB]
2 818 ko réceptionnés en 1s (1 727 ko/s)
 



nota: sur testing c'est une autre histoire (aujourd'hui aussi mise a jour apt et apt-utils )
le détail ici => https://debian-facile.org/viewtopic.php … 38#p290438

Dernière modification par robert2a (24-01-2019 11:40:14)

Hors ligne

#12 24-01-2019 14:31:47

raleur
Membre
Inscription : 03-10-2014

Re : Grosse faille de sécurité dans APT - le patch arrive

Comme j'utilise un proxy APT local, apt ne fait de requêtes directes à l'extérieur donc je ne suis pas concerné par cette faille.

Par contre ça va poser un gros souci pour ceux qui font de nouvelles installations par le réseau sans proxy jusqu'à ce que les images d'installation soient mises à jour (prochaine révision 9.7 normalement).

EDIT : ça n'a pas tardé, je viens de voir que la révision 9.7 a été publiée hier pour cette raison et les nouvelles images d'installation sont disponibles.
https://www.debian.org/News/2019/20190123

Dernière modification par raleur (24-01-2019 14:37:41)

Hors ligne

#13 24-01-2019 16:07:05

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Oui ils traînent pas sur Debian smile

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#14 27-01-2019 19:57:01

tuFek
Membre
Distrib. : Debian 9.6 Stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : xfce-4
Inscription : 15-09-2017

Re : Grosse faille de sécurité dans APT - le patch arrive

Du coup, (sans vouloir être parano mais plutôt pour mieux comprendre la faille ), à partir de quel moment peut-on considérer qu'une machine puisse être potentiellement compromise? N'importe quelle installation de paquet via apt avant mise à jour aurait pu être un vecteur d'attaque en man-in-the-middle?

Homo sum, et nihil humanum a me alienum puto

Hors ligne

#15 27-01-2019 20:12:38

raleur
Membre
Inscription : 03-10-2014

Re : Grosse faille de sécurité dans APT - le patch arrive

Oui, si apt télécharge les paquets en utilisant le protocole HTTP via un chemin réseau susceptible d'être le siège d'un MitM.
Surtout depuis la publication de la faille.

Hors ligne

#16 27-01-2019 22:38:32

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Grosse faille de sécurité dans APT - le patch arrive

C'est sûr que c'est un peu "la pire chose possible" ce genre de faille, la gestion des paquets est centralissime dans la sécurité, et bam. Je trouve ça au moins aussi grave potentiellement que heartbleed pour les gens sous debian et dérivé sad

Agenda du libre : venez aider et vous faire aider !
Arzano Informatique : mon entreprise gagne-pain.
Ma contribution au datalove

Hors ligne

#17 28-01-2019 07:06:57

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

D'après ce que j'ai compris, c'est patché maintenant non ? Une mise à jour et c'est Ok.

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#18 28-01-2019 07:32:17

Frosch
Adhérent(e)
Lieu : Belgique
Distrib. : openSUSE & Void
Noyau : 4.20.2
(G)UI : Plasma & Xfce
Inscription : 09-12-2015

Re : Grosse faille de sécurité dans APT - le patch arrive

Sauf que la mise à jour peut être exploitée par la faille old_geek.gif

apt install anarchism

En ligne

#19 28-01-2019 10:36:55

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Ah ? Elle sert à quoi alors ?

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#20 28-01-2019 10:41:06

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Grosse faille de sécurité dans APT - le patch arrive

bendia a écrit :

A noter, les commande pour la mise à jour qui évite l'exploitation de cette faille


Post#2 : https://debian-facile.org/viewtopic.php … 87#p290387


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#21 28-01-2019 20:03:36

tuFek
Membre
Distrib. : Debian 9.6 Stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : xfce-4
Inscription : 15-09-2017

Re : Grosse faille de sécurité dans APT - le patch arrive

Je me suis peut-être mal exprimé. Yes, on peut faire en sorte que la MàJ ne soit pas exploitée par la faille, j'imagine que techniquement si on a installé un paquet via apt avant de faire la MàJ, une machine pourrait être victime d'un MitM à cause de cet installation antérieure, et le rester quand bien même l'utilisateur mettrait à jour son système (comme l'explique @raleur)...scratchhead.gif

Homo sum, et nihil humanum a me alienum puto

Hors ligne

#22 29-01-2019 07:19:12

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Je ne sais pas mais si ça avait été le cas je pense que Debian aurait communiqué là dessus.

Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#23 29-01-2019 09:27:29

vv222
Modérateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 4.19 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Grosse faille de sécurité dans APT - le patch arrive

Debian a communiqué à ce sujet : https://www.debian.org/security/2019/dsa-4371

Jouer sous Debian ? Facile !

Hors ligne

#24 29-01-2019 10:40:40

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 9
(G)UI : Xfce
Inscription : 21-09-2016

Re : Grosse faille de sécurité dans APT - le patch arrive

Oui j'ai vu:

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.4.9.

Nous vous recommandons de mettre à jour vos paquets apt.



Donc logiquement, le problème est corrigé si tu mets à jour, je le comprends comme ça.


Acer Aspire 5733 - Debian 9 Xfce

Hors ligne

#25 12-02-2019 09:45:19

Inuit
Membre
Distrib. : Debian Stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : KDE / LXDE
Inscription : 09-02-2019

Re : Grosse faille de sécurité dans APT - le patch arrive

Salut,

Je n'ai appris l'existence de cette faille qu'assez récemment, seulement après avoir reçu la mise à jour que j'ai donc effectuée sans la commande bloquant les redirections...

Il y a une chose qui me turlupine concernant cette faille: les paquets ne sont-ils pas signés par PGP ? Il me semble qu'APT est sensé faire vérifier automatiquement la signature des paquets par GPG, celui-ci ne devrait-il pas renvoyer "Mauvaise signature" à APT en cas d'attaque de l'homme du milieu ?

Hors ligne

Pied de page des forums