LINUX.ORG.RU

Критическая уязвимость в Ubuntu


0

0

В дистрибутиве Ubuntu Breezy Badger 5.10 найден критический баг, позволяющий узнать логины и пароли, созданные во время инсталяции. Пароли хранятся открытым текстом в директории /var/log. Рекомендуется почистить логи.

>>> Подробности

★★

Проверено: svyatogor ()
Ответ на: комментарий от yozhhh

> Баг уже пофиксили, новые пакеты сегодня с утра скачались с помощью >встроенной обновлялки.

>>Эти пакеты удалили логи инсталлера? :)

права выставлены правильные

Vadimir
()
Ответ на: комментарий от Vadimir

> права выставлены правильные

Да? А можно поинтересоваться, какой именно пакет это совершил?
Я вот сейчас только что тоже обновился, оно само предложило. Вот что
было до:
$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-02-18 17:46 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-r--r--  1 root root   63318 2006-02-18 17:46 questions.dat
-rw-r--r--  1 root root 4214961 2006-02-18 17:46 templates.dat

Вот что стало после:
$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-02-18 17:46 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-r--r--  1 root root   63318 2006-02-18 17:46 questions.dat
-rw-r--r--  1 root root 4214961 2006-02-18 17:46 templates.dat

Предлагаю найти 10 отличий.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

The problem can be corrected by upgrading the affected package to version 2.67ubuntu20 (base-config) and 1:4.0.3-37ubuntu8 (passwd). In general, a standard system upgrade is sufficient to effect the necessary changes.

http://www.ubuntu.com/usn/usn-262-1

Ссылка уже пробегала.

GeoF
()
Ответ на: комментарий от yozhhh

Нет, оно как-то странно обновилось. После окончания оно подумало и снова
предложило обновиться. В том числе baso-config. И он уже, видимо, сделал
своё дело:

$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-03-13 14:14 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-------  1 root root   63284 2006-03-13 14:14 questions.dat
-rw-------  1 root root 4214961 2006-03-13 14:14 templates.dat

yozhhh ★★★
()
Ответ на: комментарий от MS

Вы перед каждым запуском программ заново umask выставляете? :))

mezantrop
()
Ответ на: комментарий от GeoF

Согласитесь, в памяти это несколько труднее, чем сделать F3 или дабл-клик :)

mezantrop
()
Ответ на: комментарий от MS

> umask надо было выставить соответствующий перед запуском инсталлера.

Нет, надо просто пароли в логи открытым текстом не лепить. Тогда будет проще и разработчикам, и юзерам.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

В общем, подход команды ubuntu к вопросам безопасности мне ясен. Никому ничего не навязываю, но для себя вывод сделал: ubuntu может сгодиться на непритязательный домашний десктоп, как замена win98. Правда, с гамесами будет напряг.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

> Нет, надо просто пароли в логи открытым текстом не лепить. Тогда будет проще и разработчикам, и юзерам.

Оракловый инсталлер для винды тоже лепит пароли в логи -- очень удобно -- когда пароль system забудешь -- всегда можно его найти grep'ом.

MS
()
Ответ на: Дистрибутив года, хехе от Ubnormal

Я не знаю, как я установил убунту :) но у меня нет value с паролем в этом файле, и вообще в логах. Нигде. Но у меня после установки был и пользовательский аккаунт и рут рабочий. Так вот, ни рутового, ни пользовательского пароля в открытом виде по крайней мере нет в логах. Но это уже лирика. А по сути в данной ситуации рулит не только гента, но и оффтопик. Хотя у некоторых были подозрения, что с таким отношением к локальной безопасности, было тут обсуждение судошной политикт убунты, дело до добра не дойдёт. И вот результат... Рельно обидно, всё таки это не игрушки, дело даже не в этом конкретном косяке, а именно в подходе, который сделал это возможным. :(

Hokum ☆☆☆☆
()
Ответ на: комментарий от yozhhh

... нет, пилять. Не годится оно в качестве десктопа. Попытавшись после обновления перегрузить машину обратно в WinXP, не нашёл в меню GRUB'а пункта "WinXP", одни убунты в разных ипостасях. Пункт "Other operating systems" не делает ничего. ЗАВТРА ЖЕ на этой машине будет СЛАКА, а Ubuntu - НИКОГДА больше.

yozhhh ★★★
()
Ответ на: комментарий от Hokum

Попробуй натрави греп своего пароля на рутовый раздел:) А вдруг в твоей версии просто они переместили место хранения пароля...;)

UserUnknown ★★★★★
()
Ответ на: комментарий от MS

> Оракловый инсталлер для винды тоже лепит пароли в логи -- очень удобно -- когда пароль system забудешь -- всегда можно его найти grep'ом.

Это типа пример для подражания? Ню-ню.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

убей себя, чуда.

Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/, и не правишь там права, то что ты тут расплакался?

Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

По этому треду сразу видно тру мега админов.

Тьфу блин. Давно уже зарекся на лор забить, да все привычка тянет.

Да, и не забудь, что В ПОЛНОЙ БЕЗОПАСНОСТИ ты почувствуешь себя только на openbsd. ггг

mrdeath ★★★★★
()
Ответ на: комментарий от drbond

>Неприятно, но не смертельно. :)

Херасе не смертельно! Любой юзверь читает пароль первого юзверя системы, на которого в свою очередь настрен sudo без ограничений. И это --- не смертельно?? =)))

MYMUR ★★★★
()
Ответ на: комментарий от MYMUR

может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

mrdeath ★★★★★
()
Ответ на: комментарий от mrdeath

>может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Т.е. полагаемся как обычно на авось.

mezantrop
()
Ответ на: комментарий от mrdeath

> может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Ubuntu -- "Linux Starter Edition" -- for single user mode applications only.

MS
()
Ответ на: комментарий от MS

ubuntu -- единственный дистрибутив, который люди делают "для домохозяек". Тоесть с целью создания альтернативы виндовс.

Поэтому и получается по большей части "single user"

mrdeath ★★★★★
()
Ответ на: комментарий от mezantrop

ну я же не говорил, что это хорошо. Я говорил, что "не смертельно". Ну а само сабой, таких ляпов в будующем им лучше избегать.

mrdeath ★★★★★
()
Ответ на: комментарий от MYMUR

>Херасе не смертельно! Любой юзверь читает пароль первого юзверя системы, на которого в свою очередь настрен sudo без ограничений. И это --- не смертельно?? =)))

По моему скромному мнению - Ubuntu - это система для домашнего сегмента. Насколько я знаю никто не использует её для корпоративных целей. Да и сами производители Убунты позиционируют её именно как домашний десктоп. Конечно это не оправдывает такого наплевательского отношения к безопасности в данном релизе. Но! Баг выловили, пофиксили. В Dapper-е его уже не будет. Так что живите спокойно господа! А самой умной и конструктивной реакцией на сообщение об уязвимости будет чистка логов установки, либо обновление системы из security репозитория. Поливать же здесь грязью действительно очень хороший дистрибутив (да для домашнего использования преимущественно, но всё же) глупо. Вы сами льёте воду на мельницу Билла :(

drbond
()

Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

Slacko
()
Ответ на: комментарий от Slacko

>Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

Реакция типичного лемминга. :(

Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

drbond
()
Ответ на: комментарий от mrdeath

> убей себя, чуда.

Только после Вас, сэр.

> Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/

Смотрю.

> и не правишь там права

На логи инсталлера? Никогда не приходило в голову, что в них может содержаться какой-то криминал типа паролей. Это что, теперь нормой считается?

> Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

Ну, например? Что можно сделать на машине, получив доступ к логам инсталлера? Если там нет паролей, естественно.

> Тьфу блин. Давно уже зарекся на лор забить, да все привычка тянет.

Забей. Лучше ещё раз логи проверь у себя - вдруг там опять пароли?

yozhhh ★★★
()
Ответ на: комментарий от drbond

>Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

Или другу своему ближнему отнеси, пусть он опубликует свой пароль.

mezantrop
()
Ответ на: комментарий от mrdeath

> может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Вот я и говорю - замена win98. Только /boot/grub/menu.lst перед каждой перезагрузкой после обновления проверять надо - а то вдруг оно там снова всё потёрло, что ей не понравилось?

yozhhh ★★★
()
Ответ на: комментарий от drbond

> Реакция типичного лемминга. :( Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

Нефиг. Лучше за свои деньги запишу им Слаку/Мандриву/Сусь/Федору и раздам. А к афреканским поделкам приучать нельзя. Ф топку.

Slacko
()
Ответ на: комментарий от mrdeath

> Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/,
> и не правишь там права, то что ты тут расплакался?

> Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

И много дистрибутивов, у которых сходу доступ к логам доступен кому-то, кроме рута ?

AS ★★★★★
()
Ответ на: комментарий от yozhhh

>Вот я и говорю - замена win98. Только /boot/grub/menu.lst перед каждой перезагрузкой после обновления проверять надо - а то вдруг оно там снова всё потёрло, что ей не понравилось?

Не было такого ни разу. На скольких машинах с dual-boot не ставил. Загрузка всегда проходит отлично. Перезагрузка тоже. Загрузочное меню grub'а нормальное.

drbond
()
Ответ на: комментарий от drbond

> Не было такого ни разу. На скольких машинах с dual-boot не ставил. Загрузка всегда проходит отлично. Перезагрузка тоже. Загрузочное меню grub'а нормальное.

Блин, ну вот только что случилось. Я по привычке нажал ENTER, когда появилось меню grub'а, потому что там винда была по дефолту. Смотрю - убунта снова грузится. Гляжу в menu.lst - нет виндового пункта. И в menu.lst~ тоже нет. Испарился бесследно.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

> ЗАВТРА ЖЕ на этой машине будет СЛАКА, а Ubuntu - НИКОГДА больше.

Могу посоветовать Zenwalk (бывший minislack) - чудо, после самоубийства Ubuntu (скривилась от неопытности пользователя) Zenwalk работает на ура. И машинка вроде совсем старая - а работает гораздо шустрее Ubuntu.

los_nikos ★★★★★
()
Ответ на: комментарий от mrdeath

mandriva, suse для кого, для кулцхакеров7

One ★★★★★
()
Ответ на: комментарий от Slacko

>Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

Жесть! Ты что ли ниасили патч? =)

MYMUR ★★★★
()
Ответ на: комментарий от yozhhh

Подумаешь... мне убунта при установке собиралась отформатировать раздел с мандрейком, хотя я ей не разрешал этого делать.

seiken ★★★★★
()
Ответ на: комментарий от mrdeath

> ubuntu -- единственный дистрибутив, который люди делают "для домохозяек". Тоесть с целью создания альтернативы виндовс.

"Для домохозяек", в эпоху распространения домашних сетей - это не значит "однопользовательская система". Вот даст, к примеру, домохозяйка ssh доступ какому-нибудь кул-хаЦкеру, чтобы он помог ей курсовик по кибернетической психофизике гипноза доделать, а у мужа домохозяйки чужие документы на десктопе появятся (или пропадут). Оно ему это надо?

MS
()
Ответ на: комментарий от MYMUR

> Жесть! Ты что ли ниасили патч? =)

Всё я осилил. Ну только кто знает, какую глупую ошипку найдут в следующий раз?

Slacko
()
Ответ на: комментарий от MS

>Вот даст, к примеру, домохозяйка ssh доступ ...
уже смешно

seiken ★★★★★
()
Ответ на: комментарий от yozhhh

>Пункт "Other operating systems" не делает ничего.

А чуть чуть пониже поискать не пробовали? У меня пункт был(правда у меня загрузчик винды стоит на фатовом разделе, граб вроде ещё не умеет нтфс)

По сабжу: я в а*е.

Midael ★★★★★
()
Ответ на: комментарий от Midael

> А чуть чуть пониже поискать не пробовали?

Ниже НИЧЕГО НЕТ. Вот этими строками menu.lst заканчивается:

### END DEBIAN AUTOMAGIC KERNELS LIST

# This is a divider, added to separate the menu items below from the Debian
# ones.
title		Other operating systems:
root
 
И всё, больше ничего нет.

> У меня пункт был(правда у меня загрузчик винды стоит на фатовом разделе, граб вроде ещё не умеет нтфс)

Будешь смеяться, но у меня тоже FAT32.

yozhhh ★★★
()
Ответ на: комментарий от Slacko

> Нефиг. Лучше за свои деньги запишу им Слаку/Мандриву/Сусь/Федору и раздам.

спорим что ты этого не сделаешь? ты даже палец об палец удалить не можешь

JB ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.