Debian DLA-1637-1: aptのセキュリティ更新(修正済み)

high Nessus プラグイン ID 121314

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

(安定版ではなく、以下のsources.listエントリのjessieを参照するように修正しました)

Max Justicz氏は、高度なパッケージマネージャーであるAPTで脆弱性を発見しました。HTTPトランスポートメソッドでHTTPリダイレクトを処理するコードが、ネットワークを介して送信されたフィールドを適切にサニタイズしません。APTとミラーの間の中間に位置する攻撃者がこの脆弱性を利用して、HTTP接続で悪意のあるコンテンツを挿入する可能性があります。このコンテンツはその後、APTによって有効なパッケージとして認識され、ターゲットマシンでroot権限を使ってコードを実行するために後で使用される可能性があります。

この脆弱性はパッケージマネージャー自体に存在するため、悪用を防ぐために、次を使用してこのアップグレード中のみリダイレクトを無効にすることが勧められています。

apt -o Acquire: : http: : AllowRedirect=false update apt -o Acquire: : http: : AllowRedirect=false upgrade

これは、security.debian.orgに対して使用されると、一部のプロキシが破損することが知られています。これが発生した場合、次を使用するように、セキュリティAPTソースを切り替えることができます:

deb http://cdn-fastly.deb.debian.org/debian-security jessie / updates main

Debian 8「Jessie」では、この問題はバージョン1.0.9.8.5で修正されました。

aptパッケージをアップグレードすることをお勧めします。

特定のアップグレード手順:

リダイレクトなしのAPTを使用したアップグレードが状況によって不可能な場合は、以下に記載されているURLを使用し、ハッシュが一致していることを確認しながら、お使いのアーキテクチャ用のファイル(wget/curlを使用)を手動でダウンロードできます。その後、dpkg -iを使用してこれらをインストールできます。

アーキテクチャに依存しないファイル:

http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-doc_1.0.9.8.5_all.deb Size/SHA256 checksum: 301106 47df9567e45fadcd2a56c0fd3d514d8136f2f206aa7baa47405c6fcb94824ab6 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-doc_1.0.9.8.5_all.deb Size/SHA256 checksum: 750506 ce79b2ef272716b8da11f3fd0497ce0b7ee69c9c66d01669e8abbbfdde5e6256

amd64アーキテクチャ:

http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 792126 295d9c69854a4cfbcb46001b09b853f5a098a04c986fc5ae01a0124c1c27e6bd http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 168896 f9615532b1577b3d1455fa51839ce91765f2860eb3a6810fb5e0de0c87253030 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 1109308 4078748632abc19836d045f80f9d6933326065ca1d47367909a0cf7f29e7dfe8 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 192950 09ef86d178977163b8cf0081d638d74e0a90c805dd77750c1d91354b6840b032 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 368396 87c55d9ccadcabd59674873c221357c774020c116afd978fb9df6d2d0303abf2 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 137230 f5a17422fd319ff5f6e3ea9a9e87d2508861830120125484130da8c1fd479df2

armelアーキテクチャ:

http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_armel.deb Size/SHA256 checksum: 717002 80fe021d87f2444abdd7c5491e7a4bf9ab9cb2b8e6fa72d308905f4e0aad60d4 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_armel.deb Size/SHA256 checksum: 166784 046fb962fa214c5d6acfb7344e7719f8c4898d87bf29ed3cd2115e3f6cdd14e9 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_armel.deb Size/SHA256 checksum: 1067404 f9a257d6aace1f222633e0432abf1d6946bad9dbd0ca18dccb288d50f17b895f http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_armel.deb Size/SHA256 checksum: 193768 4cb226f55132a68a2f5db925ada6147aaf052adb02301fb45fb0c2d1cfce36f0 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_armel.deb Size/SHA256 checksum: 353178 38042838d8bc79642e5389be7d2d2d967cbf316805d4c8c2d6afbe1bc164aacc http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_armel.deb Size/SHA256 checksum: 134932 755b6d22f5914f3153a1c15427e5221507b174c0a4c6b860ebd16234c9e9a146

armhfアーキテクチャ:

http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 734302 0f48f6d0406afdf0bd4d39e90e56460fab3d9b5fa4c91e2dca78ec22caf2fe2a http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 166556 284a1ffd529e1daab3c300be17a20f11450555be9c0af166d9796c18147a03ba http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 1078212 08d85c30c8e4a6df0dced8e232a6c7639caa231acef4af8fdee2c1e07f0178ba http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 193796 3a26bd79677b46ce0a992e2ac808c4bbd2d5b3fc37b57fc93c8efa114de1adaa http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 357074 19dec9ffc0fe4a86d6e61b5213e75c55ae6aaade6f3804f90e2e4034bbdc44d8 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 135072 06ba556c5218e58fd14119e3b08a08f685209a0cbe09f2328bd572cabc580bca

i386アーキテクチャ:

http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_i386.deb Size/SHA256 checksum: 800840 201b6cf4625ed175e6a024ac1f7ca6c526ca79d859753c125b02cd69e26c349d http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_i386.deb Size/SHA256 checksum: 170484 5791661dd4ade72b61086fefdc209bd1f76ac7b7c812d6d4ba951b1a6232f0b9 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_i386.deb Size/SHA256 checksum: 1110418 13c230e9c544b1e67a8da413046bf1728526372170533b1a23e70cc99c40a228 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_i386.deb Size/SHA256 checksum: 193780 c5b1bfa913ea2e2e332c228f5c5fe4dbc11ab334d0551a68ba6e87e94a51ffee http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_i386.deb Size/SHA256 checksum: 371218 1a74b12c8bb6b3968a721f3aa96739073e4fe2ced9302792c533e21535bc9cf4 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_i386.deb Size/SHA256 checksum: 139036 32148d92914a97df8bbb9f223e788dcbc7c39e570cf48e6759cb483a65b68666

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

http://cdn-fastly.deb.debian.org/debian-security

http://www.nessus.org/u?868b0759

http://www.nessus.org/u?d4ec6efb

http://www.nessus.org/u?985bde3e

http://www.nessus.org/u?10108a63

http://www.nessus.org/u?353fda54

http://www.nessus.org/u?d5383837

http://www.nessus.org/u?f7b7a168

http://www.nessus.org/u?a7d39274

http://www.nessus.org/u?73187c9f

http://www.nessus.org/u?c9f313ea

http://www.nessus.org/u?ce74b7bd

http://www.nessus.org/u?f96c8811

http://www.nessus.org/u?7ccdd0a1

http://www.nessus.org/u?3e388cff

http://www.nessus.org/u?07af7490

http://www.nessus.org/u?aa3c5561

http://www.nessus.org/u?59f97850

http://www.nessus.org/u?aca38205

http://www.nessus.org/u?d45da10d

http://www.nessus.org/u?0f076bbb

http://www.nessus.org/u?9f26eed9

http://www.nessus.org/u?21aa89cb

http://www.nessus.org/u?f455a86b

http://www.nessus.org/u?17636c22

http://www.nessus.org/u?0e4b3dfb

http://www.nessus.org/u?7c4de272

https://lists.debian.org/debian-lts-announce/2019/01/msg00014.html

https://packages.debian.org/source/jessie/apt

プラグインの詳細

深刻度: High

ID: 121314

ファイル名: debian_DLA-1637.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2019/1/23

更新日: 2024/6/26

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-3462

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:apt-transport-https, p-cpe:/a:debian:debian_linux:apt, p-cpe:/a:debian:debian_linux:apt-utils, cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:libapt-inst1.5, p-cpe:/a:debian:debian_linux:libapt-pkg-dev, p-cpe:/a:debian:debian_linux:libapt-pkg-doc, p-cpe:/a:debian:debian_linux:libapt-pkg4.12, p-cpe:/a:debian:debian_linux:apt-doc

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/1/22

脆弱性公開日: 2019/1/28

参照情報

CVE: CVE-2019-3462