S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 février 2012
N° CERTA-2012-AVI-048
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Ubuntu Software Properties

Gestion du document

Référence CERTA-2012-AVI-048
Titre Vulnérabilité dans Ubuntu Software Properties
Date de la première version01 février 2012
Date de la dernière version01 février 2012
Source(s) Bulletin de sécurité Ubuntu USN-1352-1 du 31 janvier 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à l'intégrité des données

Systèmes affectés

  • Ubuntu 10.04 LTS.
  • Ubuntu 10.10 ;
  • Ubuntu 11.04 ;
  • Ubuntu 11.10 ;

Résumé

Une vulnérabilité présente dans Software Properties peut être utilisée par un attaquant afin d'installer des clés PPA GPG arbitraires.

Description

Une vulnérabilité existe dans le processus de validation du certificat serveur de Software Properties. Elle permet à un utilisateur distant malintentionné d'effectuer une attaque de type homme du milieu (man-in-the-middle) provoquant alors l'installation de clés GPG arbitraires.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 février 2012
    version initiale.