Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
vient d'être découverte par Karl Øie. Le mot de passe du premier
utilisateur créé lors de l'installation du système apparaît dans les
fichiers logs de l'installeur.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont
/var/log/installer/cdebconf/questions.dat qui est accessible en lecture
à tous les utilisateurs. C'est d'autant plus préoccupant que le premier
utilisateur créé sur le système possède les droits sudo sur l'ensemble
du système, ce qui équivaut à un accès root à la machine.
On Tue, 14 Mar 2006 16:09:41 +0000, Benjamin FRANCOIS wrote:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple? Mais c'est complètement débile, comme réponse !
Surement. Mais si il aime signaler les failles comme il vient de faire, il y a de quoi s'amuser de ce coté là aussi.
On Tue, 14 Mar 2006 16:09:41 +0000, Benjamin FRANCOIS wrote:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des
failles relatives à Windows, par exemple?
Mais c'est complètement débile, comme réponse !
Surement. Mais si il aime signaler les failles comme il vient de faire, il
y a de quoi s'amuser de ce coté là aussi.
On Tue, 14 Mar 2006 16:09:41 +0000, Benjamin FRANCOIS wrote:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple? Mais c'est complètement débile, comme réponse !
Surement. Mais si il aime signaler les failles comme il vient de faire, il y a de quoi s'amuser de ce coté là aussi.
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de passe du sudoer principal en clair et dans un fichier lisible, c'est pas vraiment serieux : sous Fedora, les logs d'anaconda sont inaccessibles aux utilisateur (meme en lecture). Espérons que les utilisateurs, se mettront vite à jour. A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo, windows XP, ...). Et non MS n'a pas le monopole de la faille de sécurité, et, non Debian n'est pas inviolable.
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on
est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de
passe du sudoer principal en clair et dans un fichier lisible, c'est
pas vraiment serieux : sous Fedora, les logs d'anaconda sont
inaccessibles aux utilisateur (meme en lecture). Espérons que les
utilisateurs, se mettront vite à jour.
A priori quand on mélange les utilisateurs et les administrateurs, ça
finit forcément par poser des problèmes (sudo, windows XP, ...). Et
non MS n'a pas le monopole de la faille de sécurité, et, non Debian
n'est pas inviolable.
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de passe du sudoer principal en clair et dans un fichier lisible, c'est pas vraiment serieux : sous Fedora, les logs d'anaconda sont inaccessibles aux utilisateur (meme en lecture). Espérons que les utilisateurs, se mettront vite à jour. A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo, windows XP, ...). Et non MS n'a pas le monopole de la faille de sécurité, et, non Debian n'est pas inviolable.
Nicolas George
"LeGreffier" , dans le message , a écrit :
A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo
Tu as des arguments concrets contre sudo, ou juste du FUD ?
"LeGreffier" , dans le message
<1142512670.814395.310430@i40g2000cwc.googlegroups.com>, a écrit :
A priori quand on mélange les utilisateurs et les administrateurs, ça
finit forcément par poser des problèmes (sudo
Tu as des arguments concrets contre sudo, ou juste du FUD ?
A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo
Tu as des arguments concrets contre sudo, ou juste du FUD ?
FUD ?
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm c'est _mal_)
Prodejeu
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de passe du sudoer principal en clair et dans un fichier lisible, c'est pas vraiment serieux : sous Fedora, les logs d'anaconda sont inaccessibles aux utilisateur (meme en lecture). Espérons que les utilisateurs, se mettront vite à jour. A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo, windows XP, ...). Et non MS n'a pas le monopole de la faille de sécurité, et, non Debian n'est pas inviolable.
Tu te gausse peut-être (mais nous on s'en fiche), n'empêche que la distrib qui en se moment fait bouger les choses c'est bien la Ubuntu. Alors certes, le fait de donner des droits "admin" à un utilisateur c'est peut-être mal. Mais perso j'apprécie que ma copine puisse monter sa clé USB, ou bien connecter le portable au réseau, et bien d'autres choses, sans venir crier "Au secours !"
De plus quand tu dis : "on est admin' ou utilisateur, c'est tout!" c'est bien gentil, mais quand y a pas d'admin à la maison comment on fait ?
Dans le milieu professionnel je dis pas. Les droits doivent-être strictes et bien réglé. Mais ça ne s'applique pas à la maison. Si on ne peut même plus installer un pauvre petit logiciel (un jeu par exemple), sans devoir appeler l'admin (Qui je le répète, n'est pas forcement livré avec la machine), les utilisateurs resteront ou repartiront sous windows.
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on
est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de
passe du sudoer principal en clair et dans un fichier lisible, c'est
pas vraiment serieux : sous Fedora, les logs d'anaconda sont
inaccessibles aux utilisateur (meme en lecture). Espérons que les
utilisateurs, se mettront vite à jour.
A priori quand on mélange les utilisateurs et les administrateurs, ça
finit forcément par poser des problèmes (sudo, windows XP, ...). Et
non MS n'a pas le monopole de la faille de sécurité, et, non Debian
n'est pas inviolable.
Tu te gausse peut-être (mais nous on s'en fiche), n'empêche que la
distrib qui en se moment fait bouger les choses c'est bien la Ubuntu.
Alors certes, le fait de donner des droits "admin" à un utilisateur
c'est peut-être mal.
Mais perso j'apprécie que ma copine puisse monter sa clé USB, ou bien
connecter le portable au réseau, et bien d'autres choses, sans venir
crier "Au secours !"
De plus quand tu dis : "on est admin' ou utilisateur, c'est tout!" c'est
bien gentil, mais quand y a pas d'admin à la maison comment on fait ?
Dans le milieu professionnel je dis pas. Les droits doivent-être
strictes et bien réglé. Mais ça ne s'applique pas à la maison.
Si on ne peut même plus installer un pauvre petit logiciel (un jeu par
exemple), sans devoir appeler l'admin (Qui je le répète, n'est pas
forcement livré avec la machine), les utilisateurs resteront ou
repartiront sous windows.
Je me gausse, déjà, depuis le début, je suis contre le "sudo" : on est admin' ou utilisateur, c'est tout! ensuite c'est vrai que le mot de passe du sudoer principal en clair et dans un fichier lisible, c'est pas vraiment serieux : sous Fedora, les logs d'anaconda sont inaccessibles aux utilisateur (meme en lecture). Espérons que les utilisateurs, se mettront vite à jour. A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo, windows XP, ...). Et non MS n'a pas le monopole de la faille de sécurité, et, non Debian n'est pas inviolable.
Tu te gausse peut-être (mais nous on s'en fiche), n'empêche que la distrib qui en se moment fait bouger les choses c'est bien la Ubuntu. Alors certes, le fait de donner des droits "admin" à un utilisateur c'est peut-être mal. Mais perso j'apprécie que ma copine puisse monter sa clé USB, ou bien connecter le portable au réseau, et bien d'autres choses, sans venir crier "Au secours !"
De plus quand tu dis : "on est admin' ou utilisateur, c'est tout!" c'est bien gentil, mais quand y a pas d'admin à la maison comment on fait ?
Dans le milieu professionnel je dis pas. Les droits doivent-être strictes et bien réglé. Mais ça ne s'applique pas à la maison. Si on ne peut même plus installer un pauvre petit logiciel (un jeu par exemple), sans devoir appeler l'admin (Qui je le répète, n'est pas forcement livré avec la machine), les utilisateurs resteront ou repartiront sous windows.
Prodejeu
On 2006-03-16, Nicolas George <nicolas$ wrote:
"LeGreffier" , dans le message
A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo Tu as des arguments concrets contre sudo, ou juste du FUD ?
FUD ?
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm c'est _mal_)
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en graphique !
On 2006-03-16, Nicolas George <nicolas$george@salle-s.org> wrote:
"LeGreffier" , dans le message
A priori quand on mélange les utilisateurs et les administrateurs, ça
finit forcément par poser des problèmes (sudo
Tu as des arguments concrets contre sudo, ou juste du FUD ?
FUD ?
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm
c'est _mal_)
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
A priori quand on mélange les utilisateurs et les administrateurs, ça finit forcément par poser des problèmes (sudo Tu as des arguments concrets contre sudo, ou juste du FUD ?
FUD ?
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm c'est _mal_)
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en graphique !
Kevin Denis
Le 24-03-2006, Prodejeu a écrit :
Sinon se logguer en root c'est _mal_
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait un superbe fond d'ecran rouge petant lorsqu'on se loguait root en graphique.
-- Kevin
Le 24-03-2006, Prodejeu <prodejeu@free.fr> a écrit :
Sinon se logguer en root c'est _mal_
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait
un superbe fond d'ecran rouge petant lorsqu'on se loguait root en
graphique.
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait un superbe fond d'ecran rouge petant lorsqu'on se loguait root en graphique.
-- Kevin
Prodejeu
Sinon se logguer en root c'est _mal_ Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait un superbe fond d'ecran rouge petant lorsqu'on se loguait root en graphique.
De toute façon à l'install la Ubuntu spécifie un mot de passe root, mais
on le connait pas. On peut toujours le modifier, mais de base on est pas tenté de se logguer en root.
Sinon se logguer en root c'est _mal_
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait
un superbe fond d'ecran rouge petant lorsqu'on se loguait root en
graphique.
De toute façon à l'install la Ubuntu spécifie un mot de passe root, mais
on le connait pas.
On peut toujours le modifier, mais de base on est pas tenté de se
logguer en root.
Sinon se logguer en root c'est _mal_ Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
Quelle distro incite ce genre de choses? Meme la Mandrake 7 deja affichait un superbe fond d'ecran rouge petant lorsqu'on se loguait root en graphique.
De toute façon à l'install la Ubuntu spécifie un mot de passe root, mais
on le connait pas. On peut toujours le modifier, mais de base on est pas tenté de se logguer en root.
George Abitbol
On 2006-03-24, Prodejeu wrote:
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm c'est _mal_)
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en graphique !
? J'ai jamais dit le contraire...
On 2006-03-24, Prodejeu <prodejeu@free.fr> wrote:
Sinon se logguer en root c'est _mal_, surtout en graphique (d'ailleurs les ?dm
c'est _mal_)
Justement, Ubuntu n'incite pas à se logguer en root et encore moins en
graphique !
