Re: kurze Frage zum security update von APT

[Lindermann <jenslindermann@t-online.de>]

> Praktisch werde ich auf diese Lücke aber auch nicht reagieren. Dass ich

Moin,

auch den anderen Danke für ihre Antworten -- ich hab das (als
Nicht-Admin und Alltagsanwender, jedoch einer mit
"Sicherheitsbewußtsein" (hust), gefragt, weil's mich interessiert hat.
Eine Zusatzfrage hab ich noch, bei nochmaligem Lesen des APT-security
updates. Da steht ja:

An attacker able to man-in-the-middle
HTTP requests to an apt repository that uses InRelease files
(clearsigned Release files), can take advantage of this flaw to
circumvent the signature of the InRelease file, leading to arbitrary
code execution.

Wieso kommuniziert(e) APT eigentlich nicht über https oder tut/tat es
das schon? Und wäre dann das geschilderte Angrifsszenario eigentlich
noch relevant?

Gruß
Jens
-- 
Debian GNU/Linux stable

PGP-Key available
6967 949B 354F 7E9D E466 6CBE 5449 47C1 46A9 BD18