Устраненные в APT бреши позволяли избежать проверки пакетов

В популярном пакетном менеджере APT было обнаружено четыре опасные уязвимости, эксплуатация которых позволяла удаленно обойти механизм проверки пакетов. Речь идет о процессе проверки целостности пакетов, а также их источника.

Брешь CVE-2014-0487 существовала в результате наличия ошибки при проведении проверки загруженных файлов, а CVE-2014-0490 — из-за отсутствия корректной проверки цифровой подписи.

Уязвимости CVE-2014-0488 и CVE-2014-0489, в свою очередь, вызваны некорректными настройками, установленными по умолчанию.

В настоящий момент разработчики Debian и Ubuntu уже выпустили соответствующее исправление безопасности и рекомендуют установить его как можно скорее. Бреши устранены в версии 0.9.7.9+deb7u3 (для стабильного выпуска), а также в версии 1.0.9 (для нестабильного).