Ubuntu の Subiquity において、バージョン 24.04.4 では、インストールに失敗した場合にバグレポートを Launchpad に送信する際に、機密性の高いユーザー認証情報が漏洩する脆弱性が存在します。この脆弱性により、Wi-Fi パスワードなどの情報がログに含まれる可能性があります。影響を受けるバージョンは 0.0.0–25.10 ですが、バージョン 24.04.5 でこの問題は修正されています。
CVE-2025-14551 は Ubuntu に影響を与え、特に Subiquity バージョン 24.04.4 に関連します。この脆弱性は、インストール中のエラー報告プロセスに存在します。インストールが失敗した場合、ユーザーが Launchpad にバグ報告を送信すると、Subiquity は添付のログファイルに、プレーンテキストの Wi-Fi パスワードなどの機密性の高いユーザー認証情報を誤って含めてしまう可能性があります。これは、バグ報告が第三者にアクセス可能な場合、特に認証情報の漏洩リスクを高めます。この脆弱性の重大度は、この情報の開示によって生じる可能性のある損害に基づいて評価されます。不正アクセスによる Wi-Fi ネットワークへの侵入や、接続された他のシステムへのアクセスなどが考えられます。
CVE-2025-14551 の悪用には、Ubuntu のインストールが失敗し、ユーザーが Launchpad にバグ報告を送信することを選択する必要があります。攻撃者は、インストールプロセスを操作したり、既存の脆弱性を悪用したりすることで、インストール失敗を誘発しようとする可能性があります。ユーザーがレポートを送信すると、攻撃者は添付ファイルにアクセスし、機密性の高い認証情報を抽出できます。悪用の可能性は、インストール失敗の頻度とユーザーがバグ報告を送信する意思によって異なります。悪用の複雑さは比較的低く、高度な技術スキルは必要ありません。
エクスプロイト状況
EPSS
0.06% (17% パーセンタイル)
CISA SSVC
CVE-2025-14551 の解決策は、Ubuntu 24.04.5 以降にアップデートすることです。Canonical はこの脆弱性を修正するアップデートをリリースしており、ユーザーの認証情報がバグ報告に含まれるのを防ぎます。Ubuntu 24.04.4 のユーザーは、できるだけ早くこのアップデートを適用することを強くお勧めします。また、脆弱なインストールから以前に Launchpad に送信されたバグ報告をレビューし、機密情報が含まれていないか確認することも重要です。機密情報が見つかった場合は、影響を受けるパスワードを直ちに変更してください。アップデートは Ubuntu のパッケージマネージャーを通じて適用できます。
Actualice Subiquity a la versión 24.04.5 o posterior para evitar la divulgación de credenciales sensibles en los informes de errores. Esto se puede hacer a través de los canales de actualización estándar de Ubuntu. Verifique la documentación de Ubuntu para obtener instrucciones específicas sobre cómo actualizar el sistema.
脆弱性分析と重要アラートをメールでお届けします。
Launchpad でバグ報告をレビューして、機密情報が含まれていないか確認してください。もし含まれている場合は、影響を受けるパスワードを直ちに変更してください。
Ubuntu のパッケージマネージャーを使用してください。ターミナルで sudo apt update && sudo apt upgrade を実行してください。
いいえ、この脆弱性は Subiquity バージョン 24.04.4 に固有です。
Launchpad は、Canonical が Ubuntu のために使用しているコードホスティングプラットフォームとバグ追跡システムです。
現在、この脆弱性をスキャンするための特定のツールはありません。確認する最良の方法は、インストールされている Subiquity のバージョンを確認することです。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。