Найдена уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов

В популярном пакетном менеджере APT было обнаружено четыре опасные уязвимости, эксплуатация которых позволяла удаленно обойти механизм проверки пакетов. Речь идет о процессе проверки целостности пакетов, а также их источника.

Разработчики Debian и Ubuntu выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:

(*) CVE-2014-0487 — не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;
(*) CVE-2014-0490 — не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды «apt download»;
(*) CVE-2014-0488 — данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
(*) CVE-2014-0489 — опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.