Zwar ist der Bug behoben, aber mit dem Bugreport CVE-2019-3462 ist ein Bug gemeldet worden, der Angreifern (Man in the Middle) die Möglichkeit bot, während eines laufenden Updates beim Abholen der Pakete von den öffentlichen Debian Update Servern die Downloads umzuleiten, sodass Pakete mit Schadcode eingeschleust werden können.
Mit der Umstellung auf HTTPS ist dieser Angriff nicht mehr möglich. Insgesamt ist es keine schlechte Idee zukünftig auf HTTPS umzustellen. Ob Sicherheitslücke oder nicht.
Das Ganze ist in zwei Schritten erledigt:
apt-transport-https
mit apt-get.deb https://debian.netcologne.de/debian stretch main
deb-src https://debian.netcologne.de/debian stretch main
deb https://debian.netcologne.de/debian-security/ stretch/updates main
deb-src https://debian.netcologne.de/debian-security/ stretch/updates main
deb https://debian.netcologne.de/debian stretch-updates main
deb-src https://debian.netcologne.de/debian stretch-updates main