漏洞信息详情

Ubuntu Update Manager敏感信息泄露漏洞

• CNNVD编号：CNNVD-201111-484
• 危害等级： 低危
  
• CVE编号： CVE-2011-3154
• 漏洞类型： 后置链接
• 发布时间： 1900-01-01
• 威胁类型： 本地
• 更新时间： 2014-04-22
• 厂        商： canonical
• 漏洞来源： David Black

漏洞简介

Update Manager是一款Ubuntu的软件更新管理器。

Update Manager的DistUpgrade/DistUpgradeViewKDE.py文件中存在安全漏洞，该漏洞源于程序没有正确创建临时文件。本地攻击者可通过对临时文件的符号链接攻击利用该漏洞获取XAUTHORITY文件内容。以下版本受到影响：Update Manager 1：0.87.24及之前的版本，1：0.134.11.1之前的1：0.134.x版本，1：0.142.23.1之前的1：0.142.x版本，1：0.150.5.1之前的1：0.150.x版本，1：0.152.25.5之前的1：0.152.x版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ubuntu.com/usn/USN-1284-1

参考网址

来源:UBUNTU

名称:USN-1284-1

链接:http://www.ubuntu.com/usn/USN-1284-1

来源:bugs.launchpad.net

链接:https://bugs.launchpad.net/ubuntu/+source/update-manager/+bug/881541

来源:SECUNIA

名称:47024

链接:http://secunia.com/advisories/47024

来源: BID

名称: 50832

链接:http://www.securityfocus.com/bid/50832

受影响实体

• Canonical Ubuntu_linux:8.04:-:Lts  
• Canonical Ubuntu_linux:10.04:-:Lts  
• Canonical Ubuntu_linux:10.10  
• Canonical Ubuntu_linux:11.04  
• Canonical Ubuntu_linux:11.10  

补丁

• update-notifier_0.105ubuntu1.1
• update-notifier_0.99.3ubuntu0.1
• update-notifier_0.111ubuntu2.1
• update-manager_0.134.11.1
• update-manager_0.150.5.1