Re: alerte de sécurité sur apt : 1.4.9

[Pascal Hambourg]

Le 30/01/2019 à 19:22, ajh-valmer a écrit :



apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade
modifier le fichier sources.list et mettre ceci:
http://security-cdn.debian.org/debian-security/
https://lists.debian.org/debian-security-announce/2019/msg00010.html


Choses que je n'ai pas faites...


Ton système est donc potentiellement compromis.


Mais, de toutes façons, bien d'autres comme moi
avaient utilisé avant apt version 1.4.8,
donc possibilité de contamination.


A une différence près : c'était avant la publication de la faille, donc 
son exploitation serait un "0-day". Après la publication de la faille, 
le risque de tentative d'exploitation augmente.

Re: alerte de sécurité sur apt : 1.4.9

[ajh-valmer]

> > Sauf erreur,
> > Je n'ai pas vu la méthode idoine pour upgrader apt,
> > de 1.4.8 vers 1.4.9.

> tout es expliqué sur ce site :
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> apt -o Acquire::http::AllowRedirect=false update;
> apt -o Acquire::http::AllowRedirect=false upgrade
> modifier le fichier sources.list et mettre ceci:
> http://security-cdn.debian.org/debian-security/
> https://lists.debian.org/debian-security-announce/2019/msg00010.html

Choses que je n'ai pas faites...

Mais, de toutes façons, bien d'autres comme moi
avaient utilisé avant apt version 1.4.8,
donc possibilité de contamination.

Un rkhunter (rootkit) sur mon DD a donné un résultat négatif.

Re: alerte de sécurité sur apt : 1.4.9

[Étienne Mollier]

Moi-même, à l'instant:
> On 1/30/19 1:46 PM, roger.tar...@free.fr wrote:
> > est-il possible de passer simplement à une version de
> > apt >= 1.4.9
[...]
> Oui, c'est possible

Hum, à la relecture, j'aurais dû me contenter de dire que apt,
version 1.0.9.8.5, corrige le problème en Jessie; il y a matière
à comprendre mon message initial de travers.

Amicalement,
-- 
Étienne Mollier 


> Pour Jessie la version apportant les
> correctifs est la 1.0.9.8.5.  Voir :
>
>   https://security-tracker.debian.org/tracker/CVE-2019-3462

Re: alerte de sécurité sur apt : 1.4.9

[Étienne Mollier]

On 1/30/19 1:46 PM, roger.tar...@free.fr wrote:
> Bonjour
> avec une machine encore en Jessie qui a une version plus ancienne de apt, 
> en plus de la mani expliquée, est-il possible de passer simplement à une 
> version de apt >= 1.4.9 et sans créer d'autres problèmes ?
> Merci

Bonjour,

Oui, c'est possible.  Pour Jessie la version apportant les
correctifs est la 1.0.9.8.5.  Voir :

https://security-tracker.debian.org/tracker/CVE-2019-3462

Amicalement,
-- 
Étienne Mollier 

Re: alerte de sécurité sur apt : 1.4.9

[Yves Rutschle]

On Tue, Jan 29, 2019 at 05:42:58PM +0100, ajh-valmer wrote:
> Je n'ai pas vu la méthode idoine pour upgrader apt,
> de 1.4.8 vers 1.4.9.

Ce que je dis, c'est que le problème n'est pas dans la mise
à jour d'APT. Si ton système a fait l'objet d'une attaque,
alors l'attaquant a pu utiliser APT pour installer ce qu'il
veut. Peu importe que l'on mette ensuite à jour APT. Et la
seule contre-mesure face à ça, c'est la réinstallation
complète car tu ne peux plus avoir confiance en rien dans
ton système.

(Après, faut pas non plus psychoter: l'attaquant doit quand
même avoir été capable de se placer entre ton système et le
repository que tu utilises.)

Y.

Re: alerte de sécurité sur apt : 1.4.9

[roger . tarani]

Bonjour
avec une machine encore en Jessie qui a une version plus ancienne de apt, 
en plus de la mani expliquée, est-il possible de passer simplement à une 
version de apt >= 1.4.9 et sans créer d'autres problèmes ?
Merci

- Original Message -
> From: "Bernard Schoenacker" 
> To: "ajh-valmer" 
> Cc: debian-user-french@lists.debian.org
> Sent: Tuesday, January 29, 2019 5:48:44 PM
> Subject: Re: alerte de sécurité sur apt : 1.4.9
> 
> > Sauf erreur,
> > Je n'ai pas vu la méthode idoine pour upgrader apt,
> > de 1.4.8 vers 1.4.9.
> > 
> > A. Valmer
> > 
> bonjour,
> 
> tout es expliqué sur ce site :
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> 
> voici ce qu'il faut retenir :
> 
> apt -o Acquire::http::AllowRedirect=false update;
> apt -o Acquire::http::AllowRedirect=false upgrade
> 
> modifier le fichier sources.list et mettre ceci:
> 
> http://security-cdn.debian.org/debian-security/
> 
> Bulletin de sécurité Debian du 22 janvier 2019 :
> 
> https://lists.debian.org/debian-security-announce/2019/msg00010.html
> 
> merci
> 
> slt
> bernard
> 
> 

Re: alerte de sécurité sur apt : 1.4.9

[Bernard Schoenacker]

> Sauf erreur,
> Je n'ai pas vu la méthode idoine pour upgrader apt,
> de 1.4.8 vers 1.4.9.
> 
> A. Valmer
> 
bonjour,

tout es expliqué sur ce site :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/

voici ce qu'il faut retenir :

apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade

modifier le fichier sources.list et mettre ceci:

http://security-cdn.debian.org/debian-security/

Bulletin de sécurité Debian du 22 janvier 2019 :

https://lists.debian.org/debian-security-announce/2019/msg00010.html

merci

slt
bernard

Re: alerte de sécurité sur apt : 1.4.9

[ajh-valmer]

On Monday 28 January 2019 16:19:27 Yves Rutschle wrote:
> Solution à quoi? Un attaquant qui se serait amusé à faire
> une attaque MitM pour pourrir ton APT, y'a quand même de
> bonnes chances pour qu'il ai installé une backdoor ailleurs
> dans ton système, non?

Sauf erreur,
Je n'ai pas vu la méthode idoine pour upgrader apt,
de 1.4.8 vers 1.4.9.

A. Valmer

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 28/01/2019 à 15:40, Stephane Ascoet a écrit :


Sur la liste Devuan, ils ont dit que telecharger le paquet apt 
manuellement depuis les depots etait une solution possible.


A condition de vérifier l'authenticité du fichier, parce qu'un MitM est 
encore plus facile à réaliser sur une connexion HTTP entre un navigateur 
et un serveur web.


Ils ont 
aussi indique l'adresse du depot principal qui ne connait aucune 
redirection et ne peut dont pas etre un vecteur


Le site originel n'a pas besoin de faire une redirection pour que la 
faille soit exploitable. Le principe du MitM est que l'attaquant se 
substitue au site originel, donc il peut répondre n'importe quoi.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Yves Rutschle]

On Mon, Jan 28, 2019 at 03:40:15PM +0100, Stephane Ascoet wrote:
> > Comme toujours en cas de suspicion de compromission, la seule méthode
> > fiable est la réinstallation.
> > 
> Sur la liste Devuan, ils ont dit que telecharger le paquet apt manuellement
> depuis les depots etait une solution possible.

Solution à quoi? Un attaquant qui se serait amusé à faire
une attaque MitM pour pourrir ton APT, y'a quand même de
bonnes chances pour qu'il ai installé une backdoor ailleurs
dans ton système, non?

Y.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Stephane Ascoet]

Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :


Comme toujours en cas de suspicion de compromission, la seule méthode
fiable est la réinstallation.

Allez, en pratique, c'est très improbable que tu sois visé par une
attaque de ce type.


Sur la liste Devuan, ils ont dit que telecharger le paquet apt 
manuellement depuis les depots etait une solution possible. Ils ont 
aussi indique l'adresse du depot principal qui ne connait aucune 
redirection et ne peut dont pas etre un vecteur(mais c'est specifique a 
Devuan, inutile donc que je mette le lien ici).

--
Cordialement, Stephane Ascoet

Re: alerte de sécurité sur apt

[G2PC]

> Annonce fournie par votre distribution préférée (comme l'ensemble des 
> annonces de
> sécurité affectant Debian) à l'adresse :
> https://www.debian.org/security/2019/index.fr.html
>
> Cette faille de sécurité a provoqué la publication de la révision 9.7 de 
> Stretch :
>
> https://www.debian.org/News/2019/20190123
>
> Amicalement,
> jipege


Aille ! Traduction ...

Cette mise à jour intègre la récente mise à jour de sécurité pour APT
, afin d'assurer que les nouvelles
installations de Stretch ne sont pas vulnérables. Aucune autre mise à
jour n'est incluse.

Cette mise à jour intègre la récente mise à jour de sécurité pour APT
, afin d'assurer que les nouvelles
installations de Stretch ne SOIENT pas vulnérables. Aucune autre mise à
jour n'est incluse.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[hamster]

Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :
>> et comment remédier ?
>
> Comme toujours en cas de suspicion de compromission, la seule méthode
> fiable est la réinstallation.

En prenant soin d'utiliser une image iso générée après correction de la
faille.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 22:55, ajh-valmer a écrit :



la seule méthode fiable est la réinstallation :

La réinstallation complète du système ?

Et un ? :
apt-get install --reinstall apt


Qu'est-ce qui n'est pas clair dans "apt est compromis" ?

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 20:33:46 Pascal Hambourg wrote:
 Résolu en faisant un apt-get upgrade.

> Bravo, tu peux donc considérer que ton système est compromis.
> Parce que la faille d'apt permet de lui faire télécharger et installer 
> autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?
> Comme toujours en cas de suspicion de compromission, la seule méthode 
> fiable est la réinstallation.
> Allez, en pratique, c'est très improbable que tu sois visé par une 
> attaque de ce type.

> la seule méthode fiable est la réinstallation :
La réinstallation complète du système ?

Et un ? :
apt-get install --reinstall apt

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 20:20, ajh-valmer a écrit :

On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:

Le 24/01/2019 à 18:17, ajh-valmer a écrit :

Résolu en faisant un apt-get upgrade.



Bravo, tu peux donc considérer que ton système est compromis.


Pas bravo alors :-(

Pourquoi


Parce que la faille d'apt permet de lui faire télécharger et installer 
autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?



et comment remédier ?


Comme toujours en cas de suspicion de compromission, la seule méthode 
fiable est la réinstallation.


Allez, en pratique, c'est très improbable que tu sois visé par une 
attaque de ce type.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 20:18, Eric Degenetais a écrit :



La méthode spécifique de la CVE est elle censée résoudre une compromission
déjà arrivée


Non, c'est trop tard puisqu'une version compromise d'apt est installée.


ou empêcher que le système soit compromis à l'avenir en
admettant qu'il ne le soit pas encore ?


Voilà.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:
> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> > Résolu en faisant un apt-get upgrade.

> Bravo, tu peux donc considérer que ton système est compromis.

Pas bravo alors :-( 

Pourquoi et comment remédier ?

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Étienne Mollier]

Bonsoir,

On 1/24/19 6:17 PM, ajh-valmer wrote:
> Résolu en faisant un apt-get upgrade.

Gaffe, étant donné que c'est le gestionnaire de paquets qui
est affecté, la procédure est un peu particulière :

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

-- 
Étienne Mollier 

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Eric Degenetais]

Le jeu. 24 janv. 2019 20:09, Pascal Hambourg  a
écrit :

> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> > On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> >> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> >>> Cette faille de sécurité a provoqué la publication de la révision 9.7
> >>> de Stretch :
> >>> https://www.debian.org/News/2019/20190123
> >
> >> Je suis sous Stretch.
> >> apt-cache show apt
> >> Version: 1.4.8
> >> Nouvelle version corrigée : 1.4.9
> >
> > Résolu en faisant un apt-get upgrade.
>
> Bravo, tu peux donc considérer que ton système est compromis.
>
La méthode spécifique de la CVE est elle censée résoudre une compromission
déjà arrivée, ou empêcher que le système soit compromis à l'avenir en
admettant qu'il ne le soit pas encore ?

Éric Dégenètais

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 18:17, ajh-valmer a écrit :

On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:

On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:

Cette faille de sécurité a provoqué la publication de la révision 9.7
de Stretch :
https://www.debian.org/News/2019/20190123



Je suis sous Stretch.
apt-cache show apt
Version: 1.4.8
Nouvelle version corrigée : 1.4.9


Résolu en faisant un apt-get upgrade.


Bravo, tu peux donc considérer que ton système est compromis.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> > Cette faille de sécurité a provoqué la publication de la révision 9.7 
> > de Stretch : 
> > https://www.debian.org/News/2019/20190123

> Je suis sous Stretch.
> apt-cache show apt
> Version: 1.4.8
> Nouvelle version corrigée : 1.4.9

Résolu en faisant un apt-get upgrade.

Merci.

Re: alerte de sécurité sur apt

[ajh-valmer]

On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> Cette faille de sécurité a provoqué la publication de la révision 9.7 
> de Stretch : 
> https://www.debian.org/News/2019/20190123

Je suis sous Stretch.

apt-cache show apt
Version: 1.4.8

Nouvelle version corrigée : 1.4.9

apt-get install apt
Lecture des listes de paquets... Fait
apt is already the newest version (1.4.8)

newest version (1.4.8) ? non : 1.4.9

Re: alerte de sécurité sur apt

[Eric Degenetais]

Étrange :

> @:~$ apt policy apt
> apt:
>   Installé : 1.4.9   <==  ;)
>   Candidat : 1.4.9   <==  ;)
>  Table de version :
>  *** 1.4.9 500
> 500 http://ftp.fr.debian.org/debian stretch/main amd64 Packages
> 500 http://security.debian.org/debian-security stretch/updates/main 
> amd64 Packages
> 500 http://deb.debian.org/debian stretch/main amd64 Packages
> 100 /var/lib/dpkg/status
> @:~$

Cordialement
__
Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org

__
Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org



Le jeu. 24 janv. 2019 à 14:46, ajh-valmer  a écrit :
>
> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> > Cette faille de sécurité a provoqué la publication de la révision 9.7
> > de Stretch :
> > https://www.debian.org/News/2019/20190123
>
> Je suis sous Stretch.
>
> apt-cache show apt
> Version: 1.4.8
>
> Nouvelle version corrigée : 1.4.9
>
> apt-get install apt
> Lecture des listes de paquets... Fait
> apt is already the newest version (1.4.8)
>
> newest version (1.4.8) ? non : 1.4.9
>

Re: alerte de sécurité sur apt

[Jean-Pierre Giraud]

Bonjour,
Le jeudi 24 janvier 2019 à 12:46 +0100, Bernard Schoenacker a écrit :
> bonjour,
> 
> voici le billet d'origine :
> 
> https://lists.debian.org/debian-security-announce/2019/msg00010.html
> 
> et sa traduction en français sur le site du certa :
> 
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> 
> merci
> slt
> bernard
Annonce fournie par votre distribution préférée (comme l'ensemble des annonces 
de
sécurité affectant Debian) à l'adresse :
https://www.debian.org/security/2019/index.fr.html

Cette faille de sécurité a provoqué la publication de la révision 9.7 de 
Stretch :

https://www.debian.org/News/2019/20190123

Amicalement,
jipege

alerte de sécurité sur apt

[Bernard Schoenacker]

bonjour,

voici le billet d'origine :

https://lists.debian.org/debian-security-announce/2019/msg00010.html

et sa traduction en français sur le site du certa :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/

merci

slt
bernard