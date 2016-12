Le chercheur en sécurité Donncha O’Cearbhaill aurait découvert des failles de sécurité dans l’outil permettant d’envoyer un rapport de bogue dans la distribution Ubuntu. Ces failles, nommées CVE-2016-9949 et CVE-2016-9950, seraient présentes depuis la version 12.10 et permettraient d’exécuter un code malveillant sur la machine. Elles pourraient être utilisées via le champ CrashDB qui permettrait de charger un fichier en local. Le chercheur a publié une vidéo pour expliquer ces recherches et à mis en ligne sur Github le code permettant d’utiliser ces failles.

Corrigées depuis le 14 décembre, suite à une mise à jour de Canonical, ces failles pourraient, selon Dooncha, être utilisées sur d’autres systèmes tels Tails ou Debian. Il encourage les chercheurs en sécurité à auditer le code de leurs projets afin de s’assurer de leur sécurité.

Liens :

L’annonce de Donncha O’Cearbhaill

Le code sur Github