S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 mars 2006
N° CERTA-2006-AVI-102
Affaire suivie par: CERT-FR
le 13 mars 2006

Avis du CERT-FR

Objet: Vulnérabilité dans l’installation Ubuntu

Gestion du document

Référence CERTA-2006-AVI-102
Titre Vulnérabilité dans l’installation Ubuntu
Date de la première version 13 mars 2006
Date de la dernière version 13 mars 2006
Source(s) Mise à jour de sécurité Ubuntu
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges.

Systèmes affectés

  • Ubuntu 5.10 (Breezy Badger).

Description

Le code d'installation de la version Linux Ubuntu 5.10 (aussi appelée Breezy Badger) ne nettoie pas correctement les fichiers de commentaires lors de l'installation. Le mot de passe administrateur peut donc se retrouver en lecture dans le fichier /var/log/installer/cdebconf/questions.dat. Un utilisateur malveillant peut profiter de la lecture du mot de passe pour élever ses privilèges et exécuter localement des commandes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Il est nécessaire de faire une mise à jour automatique, ou plus précisément installer les paquets base-config (2.67ubuntu20) et passwd (1:4.0.3-37ubuntu8).

Documentation

Gestion détaillée du document

    le 13 mars 2006
    version initiale.