Journal : METTEZ A JOUR VOS ZUBUNTUS !
Posté par Nahuel ANGELINETTI (Jabber id, page perso, ) le 13 mars 2006
Mega trou de sécurité découvert sur ubuntu breezy et corrigé pour dapper.
On peut avoir le mot de passe root et/ou administrateur ( en fonction du monde d'installation ) sans aucune restriction dans les logs d'installation :
cat /var/log/installer/cdebconf/questions.dat
Le bug de sécurité a été publié ici :
http://www.ubuntuforums.org/showthread.php?t=143334
bug report ici :
https://launchpad.net/distros/ubuntu/+bug/34606
et annonce d'ubuntu ici :
http://www.ubuntu.com/usn/usn-262-1
On peut avoir le mot de passe root et/ou administrateur ( en fonction du monde d'installation ) sans aucune restriction dans les logs d'installation :
cat /var/log/installer/cdebconf/questions.dat
Le bug de sécurité a été publié ici :
http://www.ubuntuforums.org/showthread.php?t=143334
bug report ici :
https://launchpad.net/distros/ubuntu/+bug/34606
et annonce d'ubuntu ici :
http://www.ubuntu.com/usn/usn-262-1
> Lire le journal (27 commentaires, moyenne: 2,6).
Vous avez demandé le commentaire #691467.
Run by 
Cette page a été générée par Templeet en 0.0597s (dont 0.0057 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Plus serieusement
La on a une faille locale béante (locale, certes, mais beante quand meme...).
Ca pose quand meme une enooooorme interrogation...
Enfin deux meme :
1) Comment un bug aussi gros a pu rentrer dans breezy?
2) Comment se fait il que personne ne l'ai remarque plus tot? L'argument de pleins d'yeux qui auditent le code serait il en fait du flan?
Les doigts dans les poches et les mains de le nez
[^]Re: Plus serieusement
Je sais pas d'ou tu sort cet argument, le vrai c'est plein d'yeux qui peuvent auditer le code, ce qui ne veux aucunement dire qu'ils le font...
Ce commentaire est :
Génial, Nul, 42
[^]Re: Plus serieusement
Bopf, c'est pas trop ce qu'on entend repeter un peu partout chez les libristes.
Les doigts dans les poches et les mains de le nez
[^]Re: Plus serieusement
Mauvais libriste, changer libriste (tm).
En attendant c'est ce que moi j'entends et dis.
Enfin il ne faut pas oublier le Do It Yourself [Or Shut Up] qui reste quand même une des premieres règles chez les libristes.
Ce commentaire est :
Génial, Nul, 42
[^]Re: Plus serieusement
J'espère que ça motivera les développeurs à faire beaucoup plus attention pour la dapper et les versions suivantes.
[^]Re: Plus serieusement
Et aussi, comment se fait-il que c'était déja corrigé dans la version de dev mais celui qui a corrigé ne l'avait pas signalé ?
[^]Re: Plus serieusement
c'est expliqué dans le bug report, ca a été corrigé "par accident" (effet de bord serait plus juste) en changeant d'autres trucs.
[^]Re: Plus serieusement
c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?
Peut-être qu'un jour ils auront des paquets un peu plus compatible avec Debian...
ce qui serait la moindre des choses.
Tous ensemble contre l'esclavitude des logiciels privateurs !
[^]Re: Plus serieusement
c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?
j'en sais rien, je ne suis pas ce genre de choses... j'ai juste lu un lien posté quelques commentaires plus haut.
[^]Re: Plus serieusement
c'est sur qu'utiliser debconf depuis la premiere release, c'est vraiment reinventer la roue..
qu'est ce qu'on peut lire comme conneries des fois.
ce qui serait la moindre des choses.
ben d'un autre cote, vu le retard que prend (et continue a accumuler) debian, c'est pas franchement de leur faute non plus.
Les doigts dans les poches et les mains de le nez