Ubuntu Update Manager 加密问题漏洞

漏洞信息详情

Ubuntu Update Manager 加密问题漏洞

• CNNVD编号：CNNVD-201111-485
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-3152
  
• 漏洞类型：
  
  
  加密问题
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-04-29
  
• 厂        商：
  
  canonical
• 漏洞来源：
  David Black

Update Manager是一款Ubuntu的软件更新管理器。

Ubuntu 8.04至11.10版本平台的Update Manager中的DistUpgrade/DistUpgradeFetcherCore.py文件中存在安全漏洞，该漏洞源于程序在解压升级压缩包之前没有验证GPG签名。攻击者可通过目录遍历攻击利用该漏洞创建或覆盖任意文件，或借助特制的meta-release文件绕过身份验证。以下版本受到影响：Update Manager 1：0.87.24及之前的版本，1：0.134.11.1之前的1：0.134.x版本，1：0.142.23.1之前的1：0.142.x版本， before 1：0.150.5.1之前的1：0.150.x版本，1：0.152.25.5之前的1：0.152.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ubuntu.com/usn/USN-1284-1/

来源:OSVDB

名称:77642

链接:http://www.osvdb.org/77642

来源:XF

名称:ubuntu-update-gpg-sec-bypass(71494)

链接:http://xforce.iss.net/xforce/xfdb/71494

来源:SECUNIA

名称:47024

链接:http://secunia.com/advisories/47024

来源:bugs.launchpad.net

链接:https://bugs.launchpad.net/ubuntu/%2Bsource/update-manager/%2Bbug/881548

来源:BID

名称:50833

链接:http://www.securityfocus.com/bid/50833

来源:UBUNTU

名称:USN-1284-1

链接:http://www.ubuntu.com/usn/USN-1284-1

来源:SECUNIA

名称:47024

链接:http://secunia.com/advisories/47024