Espace d'Asher256

Faille dans Ubuntu Breezy : Mot de passe stocké en clair !





En fait, le fichier questions.dat contient toutes les questions et réponses qui ont eu lieu lors de l’installation d’Ubuntu Breezy. Les trois lignes qui contiennent le mot de passe ressemblent à cela :

Name: passwd/user-password-again
Template: passwd/user-password-again
Value: LE_MOT_DE_PASSE_EN_CLAIR

Le pire dans l’histoire, c’est que le fichier questions.dat peut être lu par n’importe quel utilisateur (droits 644) !

Solution :

Supprimez les fichiers qui peuvent potentiellement contenir le mot de passe choisi lors de l’installation :

  • /var/log/installer/cdebconf/questions.dat
  • /var/log/debian-installer/cdebconf/questions.dat

N’hésitez pas à changer le mot de passe de votre utilisateur principal (celui qui appartient au groupe admin).

PS: Il paraît que la distribution Ubuntu Dapper n’est pas concernée par ce souci.

EDIT: La faille a été très rapidement résolue (en quelques heures!). Il vous suffit de mettre à jour les paquets base-config et passwd 😉

EDIT: Un topic dans le forum d’Ubuntu-fr (pour les intéressés).

EDIT: On en parle dans Nuxo, Linuxfr, Secunia et Infos-du-net.

Publications similaires :

  1. Miro : la télévision gratuite par Internet
  2. WordPress : impossible de poster un commentaire car vous êtes « trop rapide » ?
  3. Comment configurer le modem Huawei EC325 sous GNU/Linux ?
  4. Qu’est-ce qu’une espace insécable ? Comment l’insérer sous Linux, Open Office ou en HTML ?
  5. Compte rendu de la Linux Party 2008
  6. Connaître les UUIDs de vos partitions et périphériques sous GNU/Linux
  7. ADSL Mobile : comment configurer le modem 3G Huawei E220 sous GNU/Linux ? (Ubuntu, Fedora, Debian, Open SuSE, etc.)




Tags : Articles

Déjà 9 commentaires dans “Faille dans Ubuntu Breezy : Mot de passe stocké en clair !”
  1. szdavid
    Permalien

    Bizarre, je l’ai pas, cette ligne, moi…

  2. devloop
    Permalien

    Pour faire court : ^^
    C’est vrai qu’une faille de ce ‘niveau’ ça ne se voit pas tous les jours :-/

  3. The Other
    Permalien

    T’oublies le paquet "login". J’ai été ravi de voir la réactivité de communauté Ubuntu une fois de plus ^^.

  4. Lost in the shell
    Permalien

    Une faille (oh !). Corrigée (ah !).

    Une faile permettant l’accès au password root d’une Ubuntu Breezy 5.10 a été découverte hier. La commande qui permettait de faire ça est grep -r rootpassword /var (pour ceux qui ont du mal à comprendre, ça cherche dans tous les repertoires,

  5. Asher256
    Permalien

    Je suis étonné (et un peu déçu) de voir que cette faille de sécurité n’a pas été décelée dans Ubuntu Breezy, même après ~5 mois d’existence 🙁

    En revanche, ce qui m’a fait le plus plaisir, c’est la réactivité de la communauté d’Ubuntu. La faille a été résolue très rapidement (~5 heures). Même ceux qui ne lisent pas les news vont pouvoir éliminer la faille (…s’ils ont l’habitude de faire des mises à jour 🙂 ) !

    @The Other: J’ai moi aussi remarqué que le paquet "login" est inclus dans la mise à jour d’aujourd’hui. Je ne l’ai pas mis dans le billet car d’après http://www.ubuntu.com/usn/usn-26... , Il n’y a que base-config et passwd qui sont affectés (login n’est peut-être pas aussi important que ces deux derniers?).

  6. Deuterium360
    Permalien

    Apparemment, il n’y a pas le bug si vous avez fait une màj breezy sur une install hoary.

  7. Thesa
    Permalien

    Je n’ai pas non plus la ligne incriminée… Mais la mise à jour est faite !

  8. MrTom
    Permalien

    Désolé pour ton commentaire Asher256, mais spamplemousse s’est trompé sur ton casier judiciaire, il t’a pris pour un truant! Voilà qui est corrigé, j’ai mis ton commentaire en ligne. Encore une fois désolé!

  9. Asher256
    Permalien

    Pas de souci 😉 Merci.

    PS : C’est assez bizarre le comportement de spamplemousse. Même le miens me bloque de temps en temps. Si quelqu’un sait pour quelle raison, je serais très intéressé (un bug peut-être ?).