On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.
Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !
Aller plus loin
- L'annonce officielle (5 clics)
- Bug #34606 : Fil de discussion (4 clics)
# Enorme
Posté par pandax86 . Évalué à 10.
[^] # Re: Enorme
Posté par dark_moule . Évalué à 10.
c'est vrai que je trouve ça énorme moi aussi. heuresement que quelques personnes passent le système en revue lors de l'install pour y découvrir des failles.
donc un grand merci à cet utilisateur, même si je ne suis pas Ubuntusien.
[^] # Re: Enorme
Posté par Entaxeime . Évalué à -6.
[^] # Re: Enorme
Posté par Nicolas Dumoulin (site web personnel) . Évalué à 10.
À moins que Mme Michu installe un serveur telnet pour son petit fils ...
[^] # Re: Enorme
Posté par Erwann Robin (site web personnel) . Évalué à 10.
Ses conseils sont censés propulser au sommet n'importe quel éditeur de logiciel !
tiens, on me souffle dans l'oreillette que c'est ma mère !?
[^] # Re: Enorme
Posté par Matthieu Moy (site web personnel) . Évalué à 6.
[^] # Re: Enorme
Posté par Gniarf . Évalué à 3.
[^] # Re: Enorme
Posté par Raphaël SurcouF (site web personnel) . Évalué à 4.
# Je n'ai jamais compris pourquoi...
Posté par kd . Évalué à 3.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par Arnaud . Évalué à 6.
Question de politique.
Ce qui m'étonne plus, c'est pourquoi un audit ne commence pas par "grep -ir <mot de passe root> /", ou qq chose comme ça!
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par Nap . Évalué à 9.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par leif_thande . Évalué à 4.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par dark_moule . Évalué à 5.
c'est très bien qu'il existe des distributions spécialisés dans certains domaines mais je pense qu'il est préférable qu'elles aient une base commune pour justement unifier les efforts dans un même sens.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par py_13 . Évalué à 1.
Bon apres c'est quand meme pas evident a retrouver parmi un dump memoire, surtout si on utilise des caracteres speciaux.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par bugbuilder . Évalué à 5.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Qu'ils sont bien urbains, ces gens-là ;-)
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par ArBaDaCarBa . Évalué à 1.
Par contre, "history -c", ça marche !
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par JoeBar . Évalué à 1.
Pas dans gentoo toujours...
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par Anonyme . Évalué à 4.
En general, y a pas que des choses secretes dans /var/log ...
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par agmk . Évalué à 3.
Mar 15 13:39:58 machine su[10703]: FAILED su for MDPROOT by USERDISTRAIT
Facheux, non ?
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par fry . Évalué à 1.
En même temps, ça m'oblige à changer le mot de passe et indirectement ça fait travailler ma mémoire car les mdp comme ça : %2fh;T/1hQbs c'est pas facile à retenir ;)
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par kd . Évalué à 2.
Pourquoi aurais-je envie, en tant qu'utilisateur, de savoir à quelle heure a été démarré ou stoppé tel service, etc ? L'utilisateur qui va fouiner dans /var/log a un comportement suspect. On ne se rend pas compte la quantité d'informations intéressantes disponibles dans /var/log. Pareil pour les fichiers de configurations des services qui ne devraient pas être accessibles aux utilisateurs normaux.
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par fmaz fmaz . Évalué à 1.
fichiers de config.
Genre, quand on doit faire un TP de oueb+PHP et que, le jour du TP, on
réalise qu'on ne sait pas où les étudiants doivent mettre leurs fichiers
parce que l'admi a eu la double bonne idée de changer le répertoire
usuel (public_html) et de rentrer chez lui à 14h.
Comment ça, c'est du vécu?
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par Sylvain Sauvage . Évalué à 2.
Ou :
Mauvais méthode, changer de méthode. P.ex. en testant son TP avant (pas toujours évident, remarque).
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par EchoPapaMike . Évalué à -1.
comme un comportement suspect .
Sans le repertoire /var/log accessible et le
repertoire /etc accessible , je pense que je n'aurais pas
ameliore mes competences unix .
[^] # Re: Je n'ai jamais compris pourquoi...
Posté par berti . Évalué à 1.
-rw-r----- 1 root adm 26231 2006-03-17 10:00 auth.log
-rw-r----- 1 root adm 277948 2006-03-12 06:47 auth.log.0
C'est pas mal comme principe je trouve.
# Obligatoire...
Posté par _flo_ . Évalué à 3.
[^] # Re: Obligatoire...
Posté par yoho (site web personnel) . Évalué à 10.
[^] # Re: Obligatoire...
Posté par EdB . Évalué à 4.
- shadow (1:4.0.3-37ubuntu8) breezy-security; urgency=low
- base-config (2.67ubuntu20) breezy-security; urgency=low
- shadow (1:4.0.13-7ubuntu2) dapper; urgency=low
- cdebconf (0.97ubuntu3) dapper; urgency=low
donc si ubuntu le considère en basse priorité ...
[^] # Re: Obligatoire...
Posté par olosta . Évalué à 2.
[^] # Re: Obligatoire...
Posté par Misc (site web personnel) . Évalué à 2.
Mais c'est vrai que le bug ayant été rendu publique ( riche idée ), et dans la mesure ou launchpad ne supporte pas de masquer un bug ( au contraire de bugzilla qui a un systéme d'acl un peu plus fin ), il fallait faire vite, ça fait que 5 mois que c'est comme ça, faut surtout pas que ça attende 1 ou 2 jours de plus.
Si quelqu'un peut envoyer un patch pour ajouter la feature à launchpad, ça bénéficiras à tous.
En plus, les utilisateurs ayant tendance à garder les mêmes mots de passes, une réaction rapide s'imposait, et finalement base-config est pas si important.
Un chmod mal placé aurait rien eu de particulier comme conséquence.
Bon, bien sur, maintenant, on peut douté des audits (http://0pointer.de/blog/projects/avahi-0.6.3.html ) de sécurité d'ubuntu, sauf à considérer qu'ils en font pas pour leur propre soft. Aprés tout, on peut pas se concentrer sur la sécurité et sur la convivialité, on voit ce que ça donne sur openbsd.
Et je ne doute pas que tout sera vite oublié dans 6 mois, vu la mémoire selective des linuxiens ( et des ubuntistes en particulier ), suffit de voir le nombre qui pense que canonical à inventé l'idée d'utiliser sudo, alors que ça vient de macosX, etc.
[^] # Re: Obligatoire...
Posté par ZeroHeure . Évalué à 2.
Mais oui, bien sûr...
Sudo was first conceived and implemented by Bob Coggeshall and Cliff Spencer around 1980 ...
An updated version, ..., was posted to the net.sources newsgroup
in December of 1985.
In the Summer of 1986, Garth Snyder released and enhanced version of sudo.
...
In 1991, Dave Hieb and Jeff Nieusma wrote a new version of sudo
...
This version was later released under the GNU public license.
In 1994, ..., Todd Miller made a public release of "CU sudo" (version 1.3)
...
etc. etc.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Obligatoire...
Posté par yoho (site web personnel) . Évalué à 3.
Si tu es ubuntiste, tu devrais savoir que sudo est utilisé énormément dans cette distro (la seule à l'avoir configuré de la sorte). Si tu l'es pas, renseigne-toi.
[^] # Re: Obligatoire...
Posté par ptitlouis . Évalué à 1.
Ubuntu n'est pas la seule a l'avoir configuré de la sorte.
[^] # Re: Obligatoire...
Posté par ZeroHeure . Évalué à 3.
Mon message répondait à l'idée fausse que Sudo viendrait de MacOSX.
D'autre part Ubuntu n'est pas la seule distribution à l'utiliser (mais de façon aussi complète, je crois que oui).
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Obligatoire...
Posté par yoho (site web personnel) . Évalué à 2.
[^] # Re: Obligatoire...
Posté par imalip . Évalué à 7.
[^] # Re: Obligatoire...
Posté par Mathieu Pillard (site web personnel) . Évalué à 10.
[^] # Re: Obligatoire...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 1.
[^] # Re: Obligatoire...
Posté par _flo_ . Évalué à 6.
Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.
Ajoutons à ça le fait que beaucoup de personnes ont une ubuntu car elle est facile à utiliser et a été installée par leur pote geek ce qui veut dire qu'un grand nombre d'ubuntu ne vont pas être mises à jour avant un certain temps (car utilisées par des gens normaux).
Je sais pas pourquoi mais quelque chose me dit que tu n'aurais pas considéré ca comme "trois fois rien" si une faille du meme type avait été découverte sous Windows. Et que ca aurait meme fait une nouvelle génération de blagues sur win pendant les 5 prochaines années (oui parce que celles avec les écrans bleus, elles commencent à être un peu périmées...).
Alors je sais bien que ubuntu c'est une excellente dstribution et tout tout, je suis le premier à le dire, mais quand une GROSSE erreur est commise il faut savoir le reconnaître, d'ailleurs le titre de la news le dit bien : "faille de sécurité majeure". Je ne comprends pas pourquoi cette information est considérée comme secondaire, surtout vu le nombre d'ubuntistes qui trainent par ici...
M'enfin bon...
[^] # Re: Obligatoire...
Posté par Guillaume D. . Évalué à -1.
J'ai un windows 2003 serveur SP1 et a jour qui c'est lamentablement vautré hier apres midi plantant 40 personnes pendant 1 heure....
Heureusement les services tournant sous notre linux a tous, affiche toujours un uptime de plus de 6 mois (suite a un rempalcment de tableau electrique d'ailleur ...)
a+
[^] # Re: Obligatoire...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 0.
"qui ont installé une Ubuntu Breezy" (parce que venant d'une Hoary, aucun problème) et qui ne font pas régulièrement leurs mises à jour de sécurité. Le problème a été corrigé dans les 24h suivant sa découverte, pas de quoi fouetter un chat.
Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.
Dans ce cas, ils n'ont qu'à s'en retourner à leur mauvais ami geek qui leur a mis dans les mains un outil sans leur donner le mode d'emploi de base. Et ne me dit pas que Windows, c'est plus simple: il faut quand même faire régulièrement des mises à jour.
Le principe est exactement le même sous Ubuntu, aucun système n'y échappe: L'update-manager se charge même, depuis Breezy, de t'afficher une bulle d'information quand des mises à jour sont disponibles, à la "Windows Update" (tu sais, le truc que les leet ont tellement décrié)
[^] # Re: Obligatoire...
Posté par _flo_ . Évalué à 2.
j'ai dit 5.10, il me semble que c'est breezy, mais je peux me tromper...
Pourquoi ils le feraient s'ils ne sont pas au courant qu'il y a une faille? à cause de la bulle d'info? Si tu savais le nombre de postes windows que j'ai vu avec l'annonce windows update qui disait "des mises à jour sont disponibles" et que j'ai du expliquer qu'il fallait cliquer dessus et pas juste en avoir rien à battre. J'ai jamais dit que sous windows c'etait plus simple, et j'ai pas l'intention de le dire. Quoiqu'il me semble que maintenant les update sont automatiques par defaut ce qui est pas plus mal dans une optique "debutant". Ou mieux un comportement hybride, màj auto pour les updates de secu et juste une bulle d'info pour les autres.
Enfin tout ca sans compter que c'est pas "juste" obtenir un shell root par un buffer overflow ou autre, mais qu'on a accès au mdp en clair! Et chez beaucoup de gens (les non-geek, voire les geek pas paranos) la compromission d'un tel mot de passe ouvre les portes à beaucoup plus que le simple accès de la machine mais également à tous les comptes mail, et autres sites à login/mdp, voire achat en ligne en 1-click sur amazon et autres... Donc meme apres la mise a jour de secu, il est prudent de changer les mdp d'acces a tout ca, et ca ta mise a jour elle le fait pas.
Bref c'est pas de la gnognotte, et c'est tout ce que je voulais dire, à la base.
# Génial !!
Posté par Narmer . Évalué à 10.
[^] # Re: Génial !!
Posté par fabroce . Évalué à 0.
Il y a quand même mieux comme technique pour récupérer l'accès à un compte!
(linux en mode single et changement de mot de passe par exemple!)
[^] # Re: Génial !!
Posté par dco . Évalué à 4.
# En même temps...
Posté par ptitlouis . Évalué à 0.
'fin bon, maintenant je me demande comment déjà censés être aussi compétents que les développeurs d'ubuntu (qui sont aussi pour certains d'entre eux développeurs debian) ont pu passer à côté d'un gouffre pareil.
[^] # Re: En même temps...
Posté par Erwann Robin (site web personnel) . Évalué à 3.
s/je me demande comment déjà censés /je me demande comment des gens censés/ ?
[^] # pas mieux
Posté par Erwann Robin (site web personnel) . Évalué à 0.
[^] # Re: pas mieux
Posté par foch . Évalué à 1.
[^] # Re: En même temps...
Posté par ptitlouis . Évalué à 2.
[^] # Re: En même temps...
Posté par morfal . Évalué à 1.
Exact. Je ne vois pas trop ce qu'un utilisateur doit patcher. Il suffit d'effacer le fichier de log ou de changer le mot de passe utilisateur...
M
[^] # Re: En même temps...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 0.
[^] # Re: En même temps...
Posté par ptitlouis . Évalué à 2.
Bref, on voit clairement que la priorité d'Ubuntu n'est pas la sécurité. On supprime des features parfois utiles mais on ne s'occupe pas de savoir si c'est sécurisé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.