Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg <pascal@plouf.fr.eu.org>]

Le 28/01/2019 à 15:40, Stephane Ascoet a écrit :
> Sur la liste Devuan, ils ont dit que telecharger le paquet apt 
> manuellement depuis les depots etait une solution possible.

A condition de vérifier l'authenticité du fichier, parce qu'un MitM est 
encore plus facile à réaliser sur une connexion HTTP entre un navigateur 
et un serveur web.

> Ils ont 
> aussi indique l'adresse du depot principal qui ne connait aucune 
> redirection et ne peut dont pas etre un vecteur

Le site originel n'a pas besoin de faire une redirection pour que la 
faille soit exploitable. Le principe du MitM est que l'attaquant se 
substitue au site originel, donc il peut répondre n'importe quoi.