Plateforme
linux
Composant
ubuntu-desktop-provision
Corrigé dans
25.10.1
CVE-2025-15480 describes an Information Disclosure vulnerability found in Ubuntu Desktop Provision, specifically impacting version 0.0.0–25.10. During installation failures, the system could inadvertently include sensitive user credentials, specifically password hashes, within bug reports submitted to Launchpad. This poses a risk of unauthorized access to user accounts if these reports are compromised.
La vulnérabilité CVE-2025-15480 dans Ubuntu 24.04.4, spécifiquement au sein du composant ubuntu-desktop-provision, représente un risque de sécurité significatif. Lors d'échecs d'installation, le processus de signalement de bogues vers Launchpad pourrait involontairement inclure des hachages de mots de passe d'utilisateurs dans les journaux joints. Cela pourrait permettre à un attaquant, ayant accès à ces rapports, d'obtenir des informations sensibles sur les mots de passe des utilisateurs. Bien que le hachage ne soit pas le mot de passe lui-même, il est suffisant pour mener des attaques par force brute ou des attaques par dictionnaire, en particulier si les mots de passe sont faibles ou courants. La gravité de cette vulnérabilité réside dans la possibilité de compromettre la sécurité des comptes utilisateurs, permettant un accès non autorisé aux données personnelles et aux systèmes. L'absence d'une correction immédiate (fix: none) aggrave la situation, nécessitant des efforts de mitigation prioritaires.
L'exploitation de CVE-2025-15480 nécessite qu'un échec d'installation se produise pendant le processus d'installation d'Ubuntu 24.04.4. Un attaquant devrait induire cet échec, soit en manipulant le processus d'installation, soit en exploitant une condition spécifique qui déclenche l'erreur. Une fois le rapport de bogue généré et joint à Launchpad, l'attaquant devrait accéder à ce rapport, ce qui pourrait nécessiter le compromis d'un compte disposant de privilèges sur Launchpad ou l'exploitation d'autres vulnérabilités au sein du système de signalement de bogues. La probabilité d'exploitation est relativement faible, car elle nécessite une combinaison de facteurs, mais l'impact potentiel est élevé en raison de la sensibilité des informations compromises. L'absence d'un correctif officiel augmente la fenêtre d'opportunité pour les attaquants.
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Étant donné qu'il n'existe pas de correctif officiel (fix: none) pour CVE-2025-15480 dans Ubuntu 24.04.4, les mesures d'atténuation se concentrent sur la réduction de la probabilité d'échecs d'installation et, si ceux-ci se produisent, sur la prévention de la soumission de rapports de bogues. Il est fortement recommandé d'éviter de générer des rapports de bogues pendant l'installation chaque fois que cela est possible. Si l'installation échoue, il n'est pas recommandé de soumettre un rapport de bogue à Launchpad. Au lieu de cela, des solutions alternatives peuvent être recherchées dans les forums d'assistance Ubuntu ou en contactant directement l'équipe d'assistance technique. De plus, la mise en œuvre de politiques de mots de passe robustes, exigeant des mots de passe complexes et uniques, peut minimiser le risque que les hachages de mots de passe compromis soient utilisés pour accéder aux comptes utilisateurs. La surveillance des rapports de bogues Launchpad à la recherche d'activités suspectes peut également aider à détecter d'éventuels incidents.
Actualice el paquete ubuntu-desktop-provision a una versión corregida. Canonical ha publicado correcciones en versiones posteriores a las afectadas. Consulte las notas de la versión de Ubuntu para obtener más detalles sobre las actualizaciones disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un hachage de mot de passe est une représentation codée du mot de passe, utilisée pour le protéger contre toute exposition directe. Bien qu'un hachage ne soit pas le mot de passe lui-même, il peut être utilisé pour tenter de le casser.
Si l'installation échoue, évitez l'option de soumettre un rapport de bogue à Launchpad. Recherchez des solutions alternatives dans les forums d'assistance ou contactez l'assistance technique.
Modifiez votre mot de passe immédiatement en un mot de passe fort et unique. Activez l'authentification à deux facteurs si elle est disponible.
Actuellement, il n'existe aucun correctif officiel. Les mesures d'atténuation se concentrent sur l'évitement de la génération de rapports de bogues et le renforcement des politiques de mots de passe.
Abonnez-vous aux listes de diffusion de sécurité Ubuntu et suivez les sources officielles d'actualités de sécurité Ubuntu.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.