cerhu > linux.debian.user.french

Bernard Schoenacker (24/01/2019, 13h50)
bonjour,

voici le billet d'origine :

[..]

et sa traduction en français sur le site du certa :

[..]

merci

slt
bernard
Jean-Pierre Giraud (24/01/2019, 15h20)
Bonjour,
Le jeudi 24 janvier 2019 à 12:46 +0100, Bernard Schoenacker a écrit :
> bonjour,
> voici le billet d'origine :
> [..]
> et sa traduction en français sur le site du certa :
> [..]
> merci
> slt
> bernard

Annonce fournie par votre distribution préférée (comme l'ensemble des annonces de
sécurité affectant Debian) à l'adresse :
[..]

Cette faille de sécurité a provoqué la publication de la révision 9.7 de Stretch :

[..]

Amicalement,
jipege
ajh-valmer (24/01/2019, 15h50)
On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> Cette faille de sécurité a provoqué la publication de la révision 9.7
> de Stretch :
> [..]


Je suis sous Stretch.

apt-cache show apt
Version: 1.4.8

Nouvelle version corrigée : 1.4.9

apt-get install apt
Lecture des listes de paquets... Fait
apt is already the newest version (1.4.8)

newest version (1.4.8) ? non : 1.4.9
Eric Degenetais (24/01/2019, 16h20)
Étrange :

> <moi>@<mon-bourrin>:~$ apt policy apt
> apt:
> Installé : 1.4.9 <== ;)
> Candidat : 1.4.9 <== ;)
> Table de version :
> *** 1.4.9 500
> 500 [..] stretch/main amd64 Packages
> 500 [..] stretch/updates/main amd64 Packages
> 500 [..] stretch/main amd64 Packages
> 100 /var/lib/dpkg/status
> <moi>@<mon-bourrin>:~$


Cordialement
______________
Éric Dégenètais
Henix

[..]
[..]

______________
Éric Dégenètais
Henix

[..]
[..]

Le jeu. 24 janv. 2019 à 14:46, ajh-valmer <ajh.valmer> a écrit :
[..]
ajh-valmer (24/01/2019, 19h20)
On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> > Cette faille de sécurité a provoqué la publication de larévision 9.7
> > de Stretch :
> > [..]


> Je suis sous Stretch.
> apt-cache show apt
> Version: 1.4.8
> Nouvelle version corrigée : 1.4.9


Résolu en faisant un apt-get upgrade.

Merci.
Pascal Hambourg (24/01/2019, 21h10)
Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> Résolu en faisant un apt-get upgrade.


Bravo, tu peux donc considérer que ton système est compromis.
Eric Degenetais (24/01/2019, 21h20)
Le jeu. 24 janv. 2019 20:09, Pascal Hambourg <pascal> a
écrit :

> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> Bravo, tu peux donc considérer que ton système est compromis.

La méthode spécifique de la CVE est elle censée résoudre une compromission
déjà arrivée, ou empêcher que le système soit compromis à l'avenir en
admettant qu'il ne le soit pas encore ?

Éric Dégenètais
ajh-valmer (24/01/2019, 21h30)
On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:
> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> > Résolu en faisant un apt-get upgrade.


> Bravo, tu peux donc considérer que ton système est compromis.


Pas bravo alors :-(

Pourquoi et comment remédier ?
Étienne Mollier (24/01/2019, 21h30)
Bonsoir,

On 1/24/19 6:17 PM, ajh-valmer wrote:
> Résolu en faisant un apt-get upgrade.


Gaffe, étant donné que c'est le gestionnaire de paquets qui
est affecté, la procédure est un peu particulière :

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Pascal Hambourg (24/01/2019, 21h30)
Le 24/01/2019 à 20:18, Eric Degenetais a écrit :
> La méthode spécifique de la CVE est elle censée résoudre une compromission
> déjà arrivée


Non, c'est trop tard puisqu'une version compromise d'apt est installée.

> ou empêcher que le système soit compromis à l'avenir en
> admettant qu'il ne le soit pas encore ?


Voilà.
Pascal Hambourg (24/01/2019, 21h40)
Le 24/01/2019 à 20:20, ajh-valmer a écrit :
> On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:
>> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
>>> Résolu en faisant un apt-get upgrade.

>> Bravo, tu peux donc considérer que ton système est compromis.

> Pas bravo alors :-(
> Pourquoi


Parce que la faille d'apt permet de lui faire télécharger et installer
autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?

> et comment remédier ?


Comme toujours en cas de suspicion de compromission, la seule méthode
fiable est la réinstallation.

Allez, en pratique, c'est très improbable que tu sois visé par une
attaque de ce type.
ajh-valmer (25/01/2019, 00h00)
On Thursday 24 January 2019 20:33:46 Pascal Hambourg wrote:
>>>> Résolu en faisant un apt-get upgrade.


> Bravo, tu peux donc considérer que ton système est compromis.
> Parce que la faille d'apt permet de lui faire télécharger et installer
> autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?
> Comme toujours en cas de suspicion de compromission, la seule méthode
> fiable est la réinstallation.
> Allez, en pratique, c'est très improbable que tu sois visé par une
> attaque de ce type.


> la seule méthode fiable est la réinstallation : La réinstallation complète du système ?


Et un ? :
apt-get install --reinstall apt
Pascal Hambourg (25/01/2019, 00h40)
Le 24/01/2019 à 22:55, ajh-valmer a écrit :
>> la seule méthode fiable est la réinstallation :

> La réinstallation complète du système ?
> Et un ? :
> apt-get install --reinstall apt


Qu'est-ce qui n'est pas clair dans "apt est compromis" ?
hamster (25/01/2019, 00h50)
Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :
>> et comment remédier ?

> Comme toujours en cas de suspicion de compromission, la seule méthode
> fiable est la réinstallation.


En prenant soin d'utiliser une image iso générée après correction de la
faille.
Stephane Ascoet (28/01/2019, 16h50)
Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :
> Comme toujours en cas de suspicion de compromission, la seule méthode
> fiable est la réinstallation.
> Allez, en pratique, c'est très improbable que tu sois visé par une
> attaque de ce type.


Sur la liste Devuan, ils ont dit que telecharger le paquet apt
manuellement depuis les depots etait une solution possible. Ils ont
aussi indique l'adresse du depot principal qui ne connait aucune
redirection et ne peut dont pas etre un vecteur(mais c'est specifique a
Devuan, inutile donc que je mette le lien ici).

Discussions similaires
Alerte de Sécurité ?

alerte sécurité :)

Alerte de sécurité

Alerte de sécurité


Fuseau horaire GMT +2. Il est actuellement 08h58. | Privacy Policy