Risque
Atteinte à l'intégrité des données.
Systèmes affectés
- Ubuntu 11.10 ;
- Ubuntu 11.04 ;
- Ubuntu 10.10 ;
- Ubuntu 10.04 LTS.
Résumé
Une vulnérabilité présente dans Software Properties peut être utilisée par un attaquant afin d'installer des clés PPA GPG arbitraires.
Description
Une vulnérabilité existe dans le processus de validation du certificat serveur de Software Properties. Elle permet à un utilisateur distant malintentionné d'effectuer une attaque de type homme du milieu (man-in-the-middle) provoquant alors l'installation de clés GPG arbitraires.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ubuntu USN-1352-1 du 30 janvier 2012 :
http://www.ubuntu.com/usn/usn-1352-1/
- Référence CVE CVE-2011-4407 :
https://www.cve.org/CVERecord?id=CVE-2011-4407