Súlyos hiba az Ubuntu 5.10-ben

Ubuntu

Egy rendkívül súlyos hibát fedeztek fel az Ubuntu Linux 5.10 (Breezy Badger) telepítési folyamatában. A telepítés után bárki számára olvasható a rendszeren a telepítéskor megadott "root" jelszó (ami technikailag nem root jelszó, hanem egy olyan felhasználó jelszava, aki full sudo joggal rendelkezik, azaz, akár egyenértékűvé válhat a root-tal) egy telepítési logfile megnyitásával.

A hibát egy fórumlátogató fedezte fel. A telepítő nem törli a jelszót a fileból, és sajnos a jelszó olvasható a telepítés után egy egyszerű felhasználó számára is.

Például:

vi /var/log/installer/cdebconf/questions.dat

A hibát javították. Minden olyan rendszeren kritikus lehet a file, amelyen a telepítés után nem változtatták meg a szóban forgó jelszót.

( Hunger | 2006. 03. 13., h – 16:42 )

Erről eszembe jutott az egyetemen az egyik admin által írt script, amely a nem-linuxos kolléga számára lett készítve és a felhasználók felvételére, tiltására és hasonlókra volt hivatott. Az is ilyen hibát tartalmazott és ennek köszönhetően a hallgatók gond nélkül tudták olvasni az utoljára létrehozott felhasználó jelszavát... :))

( Hijaszu | 2006. 03. 13., h – 17:07 )

Ez tipikusan az az eset, amikor dolgozni kell azert, hogy a security bug implementalva legyen, hiszen alapesetben a jelszobeallito programok nem naplozzak a jelszavakat. :(

( mikebela777 | 2006. 03. 14., k – 12:08 )

Nem piszkálódásként, hanem az elfogultság megállapításaként megjegyzem, hogy amennyiben pl. a SUSE-ról röppent volna fel egy ekkora hibáról szóló hír, akkor azt néhány perc alatt a sárga földig gyalázták volna a kedves fórumozók.

Igen, engem is meglep, hogy mennyire nincs flame a hiba kapcsán. Az is igaz, hogy egy relatíve új, bizonyos szempontból még kiforratlannak nevezhető disztró esetében azért talán nagyobb az esély egy ilyen súlyú hibára, mintha mondjuk már tíz éve csinálnák.

Ennek ellenére, bárhogy is nézzük a dolgot, ez most nagyon kellemetlen... A leginkább kritikus itt az, hogy nem egyszerűen root szintű jogokat szerezhetett bárki, ez egy Kovács Pistike (Persze ki törődik Kovács Pistivel...) számára talán nem is legkritikusabb. A legfőbb gond az az, hogy a jelszót ellophatta bárki gépéről. Márpedig a gyakorlat azt mutatja, hogy általában otthoni userek root jelszavát érdemes megpróbálni például a webmailüknél, instant messenger accountjuknák, stb. Ebben éppen ez a legsúlyosabb, hogy ha valaki Ubuntu-t használt otthon, és a haverok is időről-időre ellenőrizetlenül maradtak a gépe előtt (például amíg kiszaladt a konyhába a házigazda egy újabb doboz sörért), nem lehet egészen biztos benne, hogy azok nem szerezték meg az ő személyes jelszavát. Főleg, ha a hiba publikálása után hetekkel teszi fel csak a frissítést - mert mondjuk kikapcsolta az autoupdate-et, és elfelejt kézzel frissíteni.

( radix | 2006. 03. 14., k – 17:45 )

Tegnap hozzászóltam ehhez a fórumhoz, de a hozzászólásom mára eltünt.
Vagy én vagyok hülye, vagy valaki moderálta a fórumot.

Csak annyit írtam, hogy a Mac Os X-et a földig alázták a 30 perces feltörésével, pedig az nem is ilyen súlyos hiba...

Az utóbbi időben vannak problémák az oldallal. Volt hogy mentést kellett visszaállítani. Volt, hogy vesztek el hozzászólások. Leszarom a south parkos idézeteket. Offtopikon, és olyanon kívül, ami a FAQ-ba le van írva, nincs kitörölve semmi. Keressél már, ember. Amilyen hozzászólások itt vannak, azok rég törlésre kerülhettek volna már ha érdekelne. Neked más hasonló oldalon már esélyed se lenne hozzászólni...

--
trey @ gépház

Eh, az a baj, hogy újabban már nincs kedvem flame-lni se veletek. Az az igazság, hogy unalmasak vagytok. Semmi új téma. :-((

"on: Inkabb nezd meg, mennyi sok embert erdekel itt az imadott ubuntu linuxod :-D"

Látod, itt mindenki megkapja a magáét. Ezért fölösleges rinyálni állandóan. Senki sem marad ki(tm).

--
trey @ gépház

( HalfDemon v | 2006. 10. 08., v – 18:58 )

Es a legjobb, hogy erdekes hiba ez, hiszen az adott bugos file-t csak a root, olvashatja, vagy az aki jogot kapatt ra: sudo
Ugyhogy haszna nincs.