阿里云漏洞库

漏洞描述

apt是Debian软件包管理器dpkg的高级前端。APT 0.7.25之前的0.7.x版本和0.8.16之前的0.8.x版本在使用apt-key net-update导入密钥时，依据GnuPG参数顺序，而未能检查GPG子项，这可允许远程攻击者通过中间人攻击安装木马软件包。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载下列版本：http://www.ubuntulinux.org/

参考链接
http://seclists.org/fulldisclosure/2012/Jun/267
http://www.ubuntu.com/usn/USN-1475-1
http://www.ubuntu.com/usn/USN-1477-1
https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1013128

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.0	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.10	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.11	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.12	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.13	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.14	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.15	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.16	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.17	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.18	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.19	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.2	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.2-0.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.20	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.20.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.20.2	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.21	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.22	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.22.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.22.2	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.23	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.23.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.7.24	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.0	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.10	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.10.1	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.10.2	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.10.3	-
	运行在以下环境
	应用	debian	advanced_package_tool	0.8.11	-
	运行在以下环境
应用	debian	advanced_package_tool	0.8.11.1	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.11.2	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.11.3	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.11.4	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.11.5	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.12	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.13	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.13.1	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.13.2	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.14	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.14.1	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.1	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.10	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.6	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.7	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.8	-
运行在以下环境
应用	debian	advanced_package_tool	0.8.15.9	-
运行在以下环境
系统	ubuntu_12.04.5_lts	apt	*		Up to (excluding) 0.8.16~exp12ubuntu10.2
运行在以下环境
系统	ubuntu_12.04_lts	apt	*		Up to (excluding) 0.8.16~exp12ubuntu10.2

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

-

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

低危 APT apt-key net-update密钥导入安全漏洞（CNVD-2012-3313）

漏洞描述

解决建议

参考链接

受影响软件情况