漏洞标题
N/A
漏洞描述信息
在更新管理器中1:0.87.31.1之前、1:0.134.x之前1:0.134.11.1、1:0.142.x之前1:0.142.23.1、1:0.150.x之前1:0.150.5.1以及1:0.152.x之前1:0.152.25.5的Ubuntu 8.04至11.10中,在提取升级包 tar 文件之前,未验证 GPG 签名。这允许中间人攻击者(1)通过使用生成的 tar 文件进行目录遍历攻击,创建或覆盖任意文件,或者(2)通过生成生成的 meta-release 文件绕过身份验证。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
DistUpgrade/DistUpgradeFetcherCore.py in Update Manager before 1:0.87.31.1, 1:0.134.x before 1:0.134.11.1, 1:0.142.x before 1:0.142.23.1, 1:0.150.x before 1:0.150.5.1, and 1:0.152.x before 1:0.152.25.5 on Ubuntu 8.04 through 11.10 does not verify the GPG signature before extracting an upgrade tarball, which allows man-in-the-middle attackers to (1) create or overwrite arbitrary files via a directory traversal attack using a crafted tar file, or (2) bypass authentication via a crafted meta-release file.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ubuntu Update Manager 加密问题漏洞
漏洞描述信息
Update Manager是一款Ubuntu的软件更新管理器。 Ubuntu 8.04至11.10版本平台的Update Manager中的DistUpgrade/DistUpgradeFetcherCore.py文件中存在安全漏洞,该漏洞源于程序在解压升级压缩包之前没有验证GPG签名。攻击者可通过目录遍历攻击利用该漏洞创建或覆盖任意文件,或借助特制的meta-release文件绕过身份验证。以下版本受到影响:Update Manager 1:0.87.24及之前的版本,1:0.134.11.1之前的1
CVSS信息
N/A
漏洞类别
加密问题