MEDIUMCVE-2025-15480

機密情報の漏洩がubuntu-desktop-provisionに影響

プラットフォーム

linux

コンポーネント

ubuntu-desktop-provision

修正版

25.10.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2025-15480 describes an Information Disclosure vulnerability found in Ubuntu Desktop Provision, specifically impacting version 0.0.0–25.10. During installation failures, the system could inadvertently include sensitive user credentials, specifically password hashes, within bug reports submitted to Launchpad. This poses a risk of unauthorized access to user accounts if these reports are compromised.

影響と攻撃シナリオ

Ubuntu 24.04.4 の ubuntu-desktop-provision コンポーネントにおける CVE-2025-15480 は、重大なセキュリティリスクをもたらします。インストールが失敗した場合、Launchpad へのバグ報告プロセスで、ユーザーのパスワードハッシュが添付ログに誤って含まれる可能性があります。これにより、これらのレポートにアクセスできる攻撃者は、ユーザーのパスワードに関する機密情報を取得する可能性があります。ハッシュはパスワードそのものではありませんが、パスワードが脆弱または一般的である場合、ブルートフォース攻撃や辞書攻撃を行うのに十分です。この脆弱性の重大な点は、ユーザーアカウントのセキュリティが侵害され、個人データやシステムへの不正アクセスが可能になる可能性があることです。迅速な修正がない (fix: none) ことは状況を悪化させ、優先的な緩和策を必要とします。

悪用の状況

CVE-2025-15480 の悪用には、Ubuntu 24.04.4 のインストールプロセス中にインストールエラーが発生する必要があります。攻撃者は、インストールプロセスを操作するか、エラーをトリガーする特定の条件を悪用することで、このエラーを引き起こす必要があります。バグレポートが生成され Launchpad に添付されたら、攻撃者は Launchpad 上の特権アカウントを侵害するか、バグ報告システム内の他の脆弱性を悪用することで、このレポートにアクセスする必要があります。悪用の可能性は比較的低いため、複数の要因の組み合わせが必要ですが、侵害された情報の機密性から、潜在的な影響は高くなります。公式な修正がないことは、攻撃者の機会を増やします。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントubuntu-desktop-provision

ベンダーCanonical

影響範囲修正版

0.0.0 – 24.04.4—

0.0.0 – 25.1025.10.1

0.0.0 – 25.04—

弱点分類 (CWE)

CWE-1258

タイムライン

予約済み2026-01-07
公開日2026-04-09
更新日2026-04-10
EPSS 更新日2026-04-17

未パッチ — 公開から45日経過

緩和策と回避策

CVE-2025-15480 に対する公式な修正 (fix: none) が Ubuntu 24.04.4 では存在しないため、緩和策はインストールが失敗する可能性を減らし、発生した場合にバグレポートの送信を防止することに重点が置かれています。可能な限り、インストール中にバグレポートを生成しないように強くお勧めします。インストールが失敗した場合、Launchpad にバグレポートを送信することは推奨されません。代わりに、Ubuntu のサポートフォーラムで代替ソリューションを検索するか、技術サポートチームに直接連絡することができます。さらに、複雑でユニークなパスワードを要求する堅牢なパスワードポリシーを実装することで、侵害されたパスワードハッシュがユーザーアカウントにアクセスするために使用されるリスクを最小限に抑えることができます。Launchpad のバグレポートを監視して疑わしい活動を検出することも役立ちます。

修正方法翻訳中…

Actualice el paquete ubuntu-desktop-provision a una versión corregida. Canonical ha publicado correcciones en versiones posteriores a las afectadas. Consulte las notas de la versión de Ubuntu para obtener más detalles sobre las actualizaciones disponibles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-15480 とは何ですか？（ubuntu-desktop-provision の Information Disclosure）

パスワードハッシュは、パスワードを直接公開から保護するために使用されるパスワードのコード化された表現です。ハッシュはパスワードそのものではありませんが、パスワードをクラックしようと試すために使用できます。

ubuntu-desktop-provision の CVE-2025-15480 による影響を受けていますか？

インストールが失敗した場合、Launchpad にバグレポートを送信するオプションを避けてください。サポートフォーラムで代替ソリューションを検索するか、技術サポートに連絡してください。

ubuntu-desktop-provision の CVE-2025-15480 を修正するにはどうすればよいですか？

パスワードをすぐに強力でユニークなパスワードに変更してください。利用可能な場合は、2 要素認証を有効にしてください。

CVE-2025-15480 は積極的に悪用されていますか？

現在、公式な修正はありません。緩和策は、バグレポートの生成を回避し、パスワードポリシーを強化することに重点を置いています。

CVE-2025-15480 に関する ubuntu-desktop-provision の公式アドバイザリはどこで確認できますか？

Ubuntu のセキュリティメーリングリストに登録し、Ubuntu の公式セキュリティニュースソースをフォローしてください。