Plattform
python
Komponente
subiquity
Behoben in
24.04.5
24.04.5
24.04.5
CVE-2025-14551 is an Information Disclosure vulnerability affecting Subiquity, the Ubuntu installer. During installation failures and subsequent bug report submissions to Launchpad, Subiquity could inadvertently include sensitive user credentials, such as plaintext Wi-Fi passwords, within the attached logs. This vulnerability impacts versions 0.0.0 through 25.10 of Subiquity, specifically Ubuntu 24.04.4. A patch is available in version 24.04.5.
CVE-2025-14551 betrifft Ubuntu, insbesondere Subiquity Version 24.04.4. Die Schwachstelle liegt im Fehlerberichterstattungsprozess während der Installation. Wenn bei einem Installationsfehler ein Benutzer einen Fehlerbericht an Launchpad sendet, kann Subiquity versehentlich sensible Benutzerdaten, wie z. B. Klartext-WLAN-Passwörter, in die angehängten Protokolldateien aufnehmen. Dies stellt ein erhebliches Risiko der Offenlegung von Anmeldeinformationen dar, insbesondere wenn der Fehlerbericht für Dritte zugänglich ist. Die Schwere dieser Schwachstelle wird anhand des potenziellen Schadens bewertet, der durch die Offenlegung dieser Informationen entstehen könnte, einschließlich unbefugtem Zugriff auf WLAN-Netzwerke und potenziell auf andere verbundene Systeme.
Die Ausnutzung von CVE-2025-14551 erfordert einen Fehler bei der Installation von Ubuntu und die Entscheidung des Benutzers, einen Fehlerbericht an Launchpad zu senden. Ein Angreifer könnte versuchen, einen Installationsfehler zu provozieren, entweder durch Manipulation des Installationsprozesses oder durch Ausnutzung einer bestehenden Schwachstelle. Sobald der Benutzer den Bericht sendet, kann der Angreifer auf die Anhänge zugreifen und die sensiblen Anmeldeinformationen extrahieren. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Häufigkeit von Installationsfehlern und der Bereitschaft des Benutzers ab, Fehlerberichte zu senden. Die Komplexität der Ausnutzung ist relativ gering, da keine fortgeschrittenen technischen Fähigkeiten erforderlich sind.
Exploit-Status
EPSS
0.06% (17% Perzentil)
CISA SSVC
Die Lösung für CVE-2025-14551 ist ein Update auf Ubuntu 24.04.5 oder höher. Canonical hat ein Update veröffentlicht, das diese Schwachstelle behebt und verhindert, dass Benutzeranmeldeinformationen in Fehlerberichten enthalten sind. Es wird dringend empfohlen, dass alle Benutzer von Ubuntu 24.04.4 dieses Update so schnell wie möglich anwenden. Darüber hinaus ist es ratsam, alle zuvor an Launchpad von einer anfälligen Installation gesendeten Fehlerberichte zu überprüfen, um festzustellen, ob sensible Informationen enthalten sind. Wenn sensible Informationen gefunden werden, ändern Sie die betroffenen Passwörter sofort. Das Update kann über den Paketmanager von Ubuntu angewendet werden.
Actualice Subiquity a la versión 24.04.5 o posterior para evitar la divulgación de credenciales sensibles en los informes de errores. Esto se puede hacer a través de los canales de actualización estándar de Ubuntu. Verifique la documentación de Ubuntu para obtener instrucciones específicas sobre cómo actualizar el sistema.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Überprüfen Sie den Fehlerbericht auf Launchpad, um festzustellen, ob er sensible Informationen enthält. Wenn ja, ändern Sie die betroffenen Passwörter sofort.
Verwenden Sie den Paketmanager von Ubuntu. Führen Sie sudo apt update && sudo apt upgrade im Terminal aus.
Nein, diese Schwachstelle betrifft nur Subiquity Version 24.04.4.
Launchpad ist eine Code-Hosting-Plattform und ein Fehlerverfolgungssystem, das von Canonical für Ubuntu verwendet wird.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu überprüfen. Der beste Weg, dies zu überprüfen, ist, die installierte Subiquity-Version zu überprüfen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.