CVE-2025-15480 describes an Information Disclosure vulnerability found in Ubuntu Desktop Provision, specifically impacting version 0.0.0–25.10. During installation failures, the system could inadvertently include sensitive user credentials, specifically password hashes, within bug reports submitted to Launchpad. This poses a risk of unauthorized access to user accounts if these reports are compromised.
Ubuntu 24.04.4 中 ubuntu-desktop-provision 组件的 CVE-2025-15480 存在着重大的安全风险。在安装失败时,向 Launchpad 提交错误报告的过程可能会意外地将用户的密码哈希包含在附件日志中。这可能允许攻击者,如果他们能够访问这些报告,获取有关用户密码的敏感信息。虽然哈希值不是密码本身,但对于暴力破解攻击或字典攻击来说,如果密码较弱或常见,就足够了。此漏洞的严重性在于可能破坏用户帐户的安全性,从而允许未经授权访问个人数据和系统。缺乏即时修复 (fix: none) 会加剧这种情况,需要优先采取缓解措施。
利用 CVE-2025-15480 需要在 Ubuntu 24.04.4 安装过程中发生安装失败。攻击者需要通过操纵安装过程或利用触发错误的特定条件来诱导此失败。 一旦生成错误报告并将其附加到 Launchpad,攻击者就需要访问此报告,这可能需要破坏 Launchpad 上具有权限的帐户或利用错误报告系统中的其他漏洞。
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
由于 Ubuntu 24.04.4 中不存在针对 CVE-2025-15480 的官方修复 (fix: none),缓解措施的重点是减少安装失败的可能性,并在发生安装失败时防止提交错误报告。 强烈建议尽可能避免在安装过程中生成错误报告。 如果安装失败,则不建议向 Launchpad 提交错误报告。 相反,可以在 Ubuntu 支持论坛中寻找替代解决方案,或直接联系技术支持团队。 此外,实施强大的密码策略,要求使用复杂且唯一的密码,可以最大限度地减少受损密码哈希被用于访问用户帐户的风险。 监控 Launchpad 错误报告中是否存在可疑活动也可以帮助检测潜在事件。
Actualice el paquete ubuntu-desktop-provision a una versión corregida. Canonical ha publicado correcciones en versiones posteriores a las afectadas. Consulte las notas de la versión de Ubuntu para obtener más detalles sobre las actualizaciones disponibles.
漏洞分析和关键警报直接发送到您的邮箱。
密码哈希是密码的编码表示,用于保护其免受直接暴露。虽然哈希值不是密码本身,但可以用来尝试破解密码。
如果安装失败,请避免提交错误报告到 Launchpad 的选项。在支持论坛中寻找替代解决方案或联系技术支持。
立即将您的密码更改为强大且唯一的密码。如果可用,请启用双因素身份验证。
目前没有官方的修复程序。缓解措施的重点是避免生成错误报告并加强密码策略。
订阅 Ubuntu 安全邮件列表并关注 Ubuntu 官方安全新闻来源。