Für den Paketmanager Apt hat das Sicherheitsteam der Linux-Distribution Debian ein Update veröffentlicht. Eine ganze Reihe von Lücken schließt die neue Version. Während der Überprüfung von Paketsignaturen könnten diese eventuell ausgenutzt werden, um einem Nutzer falsch signierte Pakete unterzuschieben. Den Apt-Nutzern wird von den Entwicklern empfohlen, den Paketmanager so schnell wie möglich zu aktualisieren. Bereits entsprechende Updates verteilt auch Ubuntu.

Auf Version 0.9.7.9+deb7u3 sollten Nutzer der stabilen Debian-Variante (Wheezy), und Nutzer von Debian Sid auf Version 1.0.9 des Apt-Paketes updaten. Mit den Versionen 0.7.25.3ubuntu9.16 (Ubuntu 10.04 LTS), 0.8.16~exp12ubuntu10.19 (Ubuntu 12.04 LTS) und 1.0.1ubuntu2.3 (Ubuntu 14.04 LTS) hat Ubuntu die Schwachstelle behoben.

Apt validiert Binärpakete, die mit apt-get download heruntergeladen wurden, nicht korrekt und verwirft unter anderem keine Paketdaten, die sich als nicht verifizierbar herausstellen. Mit den neuen Versionen wird ebenfalls ein Fehler im Programm behoben, der dazu führte, dass Antworten mit dem HTTP-Statuscode 304 nicht richtig bearbeitet wurden.

(ts, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE