Avis du CERT-FR

Objet: Vulnérabilité dans Ubuntu Software Properties

Gestion du document

Référence	CERTA-2012-AVI-048
Titre	Vulnérabilité dans Ubuntu Software Properties
Date de la première version	01 février 2012
Date de la dernière version	01 février 2012
Source(s)	Bulletin de sécurité Ubuntu USN-1352-1 du 31 janvier 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

Ubuntu 11.10 ;
Ubuntu 11.04 ;
Ubuntu 10.10 ;
Ubuntu 10.04 LTS.

Résumé

Une vulnérabilité présente dans Software Properties peut être utilisée par un attaquant afin d'installer des clés PPA GPG arbitraires.

Description

Une vulnérabilité existe dans le processus de validation du certificat serveur de Software Properties. Elle permet à un utilisateur distant malintentionné d'effectuer une attaque de type homme du milieu (man-in-the-middle) provoquant alors l'installation de clés GPG arbitraires.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ubuntu USN-1352-1 du 30 janvier 2012 :
```
http://www.ubuntu.com/usn/usn-1352-1/
```

Référence CVE CVE-2011-4407 :

https://www.cve.org/CVERecord?id=CVE-2011-4407

Gestion détaillée du document

le 01 février 2012: version initiale.