Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
vient d'être découverte par Karl Øie. Le mot de passe du premier
utilisateur créé lors de l'installation du système apparaît dans les
fichiers logs de l'installeur.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont
/var/log/installer/cdebconf/questions.dat qui est accessible en lecture
à tous les utilisateurs. C'est d'autant plus préoccupant que le premier
utilisateur créé sur le système possède les droits sudo sur l'ensemble
du système, ce qui équivaut à un accès root à la machine.
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs.
Ah oui. :)))
C'est à se tordre de rire.
Mais là ce n'est pas une faille de sécurité, c'est du sabotage.
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
vient d'être découverte par Karl Øie. Le mot de passe du premier
utilisateur créé lors de l'installation du système apparaît dans les
fichiers logs de l'installeur.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont
/var/log/installer/cdebconf/questions.dat qui est accessible en lecture
à tous les utilisateurs.
Ah oui. :)))
C'est à se tordre de rire.
Mais là ce n'est pas une faille de sécurité,
c'est du sabotage.
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs.
Ah oui. :)))
C'est à se tordre de rire.
Mais là ce n'est pas une faille de sécurité, c'est du sabotage.
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.
<MOQUERIE> Ce qui prouve bien qu'il suffit d'être « basé sur Debian » pour être une bonne distribution. </MOQUERIE>
-- Jérémy JUST
Le Mon, 13 Mar 2006 23:00:34 +0100,
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont
/var/log/installer/cdebconf/questions.dat qui est accessible en
lecture à tous les utilisateurs. C'est d'autant plus préoccupant que
le premier utilisateur créé sur le système possède les droits sudo
sur l'ensemble du système, ce qui équivaut à un accès root à la
machine.
<MOQUERIE>
Ce qui prouve bien qu'il suffit d'être « basé sur Debian » pour être
une bonne distribution.
</MOQUERIE>
On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.
<MOQUERIE> Ce qui prouve bien qu'il suffit d'être « basé sur Debian » pour être une bonne distribution. </MOQUERIE>
-- Jérémy JUST
R12y
On Mon, 13 Mar 2006 23:00:34 +0100, name wrote:
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
Evidemment. Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Le Mon, 13 Mar 2006 23:00:34 +0100, name a écrit :
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.
C'est corrigé depuis plusieurs jours.
-- on passe la moitié de son temps à refaire ce que l'on n'a pas eu le temps de faire correctement. Loi de Myers.
Le Mon, 13 Mar 2006 23:00:34 +0100, name a écrit :
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
vient d'être découverte par Karl Øie. Le mot de passe du premier
utilisateur créé lors de l'installation du système apparaît dans les
fichiers logs de l'installeur.
C'est corrigé depuis plusieurs jours.
--
on passe la moitié de son temps à refaire ce que l'on n'a pas eu le
temps de faire correctement.
Loi de Myers.
Le Mon, 13 Mar 2006 23:00:34 +0100, name a écrit :
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.
C'est corrigé depuis plusieurs jours.
-- on passe la moitié de son temps à refaire ce que l'on n'a pas eu le temps de faire correctement. Loi de Myers.
Laurent
R12y écrivait :
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
Evidemment. Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Pourquoi faire ? Ce serait Bille Guete qui a introduit ce bug ?
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème, il ne veut pas croire que certaines distribs GNU/Linux puissent être aussi merdiques qu'un certain "OS" de redmond.
(1): notez qu'avec windows on peut faire la même erreur avec les install "unattended"
-- Laurent
R12y écrivait :
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
Evidemment.
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des
failles relatives à Windows, par exemple?
Pourquoi faire ? Ce serait Bille Guete qui a introduit ce bug ?
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine
de se rendre compte de l'ENORMITE(1) du problème, il ne veut pas
croire que certaines distribs GNU/Linux puissent être aussi merdiques
qu'un certain "OS" de redmond.
(1): notez qu'avec windows on peut faire la même erreur avec les
install "unattended"
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10
Evidemment. Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Pourquoi faire ? Ce serait Bille Guete qui a introduit ce bug ?
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème, il ne veut pas croire que certaines distribs GNU/Linux puissent être aussi merdiques qu'un certain "OS" de redmond.
(1): notez qu'avec windows on peut faire la même erreur avec les install "unattended"
-- Laurent
talon
Laurent wrote:
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traîner le log de l'installation qui ne sert à rien une fois qu'on a fini l'install, on n'est pas obligé de mettre le passwd root définitif pendant l'install, et j'en passe, donc le trou est assez théorique. Maintenant, si tu considères que Ubuntu est installé surtout par des amateurs, ils risquent fort de laisser traîner le passwd root dans leur /tmp indéfiniment.
--
Michel TALON
Laurent <laurent.bar@gmail.com> wrote:
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine
de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traîner le log de
l'installation qui ne sert à rien une fois qu'on a fini l'install, on n'est
pas obligé de mettre le passwd root définitif pendant l'install, et j'en
passe, donc le trou est assez théorique. Maintenant, si tu considères que
Ubuntu est installé surtout par des amateurs, ils risquent fort de
laisser traîner le passwd root dans leur /tmp indéfiniment.
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traîner le log de l'installation qui ne sert à rien une fois qu'on a fini l'install, on n'est pas obligé de mettre le passwd root définitif pendant l'install, et j'en passe, donc le trou est assez théorique. Maintenant, si tu considères que Ubuntu est installé surtout par des amateurs, ils risquent fort de laisser traîner le passwd root dans leur /tmp indéfiniment.
--
Michel TALON
Laurent
Laurent wrote:
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traî ner le log de l'installation qui ne sert à rien une fois qu'on a fini l'install, on n 'est pas obligé de mettre le passwd root définitif pendant l'install, et j'en passe, donc le trou est assez théorique. Maintenant, si tu considères que Ubuntu est installé surtout par des amateurs, ils risquent fort de laisser traîner le passwd root dans leur /tmp indéfiniment.
C'est pourquoi j'ai signalé que le problème peut être aisément reproduit avec Windows. Le débat est ici : une procédure d'install silencieuse/automatique, doit-elle permettre de se retrouver avec un mot de passe en clair dans un fichier ?
Moi je pense que que non, aucune procédure d'install de quelque OS que ce soit ne devait le permettre. Le fait que ce soit possible avec Ubuntu, Windows ou autre est amha un énorme problème de sécurité.
Y'a qu'a voir ce qu'on trouve comme fichiers "réponses" avec une recherche google bien ciblée.
-- Laurent
Laurent <laurent.bar@gmail.com> wrote:
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine
de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traî ner le log de
l'installation qui ne sert à rien une fois qu'on a fini l'install, on n 'est
pas obligé de mettre le passwd root définitif pendant l'install, et j'en
passe, donc le trou est assez théorique. Maintenant, si tu considères que
Ubuntu est installé surtout par des amateurs, ils risquent fort de
laisser traîner le passwd root dans leur /tmp indéfiniment.
C'est pourquoi j'ai signalé que le problème peut être aisément
reproduit avec Windows.
Le débat est ici : une procédure d'install silencieuse/automatique,
doit-elle permettre de se retrouver avec un mot de passe en clair dans
un fichier ?
Moi je pense que que non, aucune procédure d'install de quelque OS que
ce soit ne devait le permettre. Le fait que ce soit possible avec
Ubuntu, Windows ou autre est amha un énorme problème de sécurité.
Y'a qu'a voir ce qu'on trouve comme fichiers "réponses" avec une
recherche google bien ciblée.
Non, c'est juste qu'en bon libriste qu'il est, il n'a pas pris la peine de se rendre compte de l'ENORMITE(1) du problème,
Faut quand même pas exagérer, on n'est pas obligé de laisser traî ner le log de l'installation qui ne sert à rien une fois qu'on a fini l'install, on n 'est pas obligé de mettre le passwd root définitif pendant l'install, et j'en passe, donc le trou est assez théorique. Maintenant, si tu considères que Ubuntu est installé surtout par des amateurs, ils risquent fort de laisser traîner le passwd root dans leur /tmp indéfiniment.
C'est pourquoi j'ai signalé que le problème peut être aisément reproduit avec Windows. Le débat est ici : une procédure d'install silencieuse/automatique, doit-elle permettre de se retrouver avec un mot de passe en clair dans un fichier ?
Moi je pense que que non, aucune procédure d'install de quelque OS que ce soit ne devait le permettre. Le fait que ce soit possible avec Ubuntu, Windows ou autre est amha un énorme problème de sécurité.
Y'a qu'a voir ce qu'on trouve comme fichiers "réponses" avec une recherche google bien ciblée.
-- Laurent
Benjamin FRANCOIS
R12y s'est exprimé en ces termes:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Mais c'est complètement débile, comme réponse !
-- Non.
R12y s'est exprimé en ces termes:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des
failles relatives à Windows, par exemple?
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Mais c'est complètement débile, comme réponse !
-- Non.
Antoine Leca
Laurent wrote:
(1): notez qu'avec windows on peut faire la même erreur avec les install "unattended"
Notons qu'au bout de plusieurs années, les programmeurs de Redmond s'en sont aperçus et maintenant (XP/2003, peut-être même 2000), dans les installations "unattended" il est possible de mettre le fameux mot en passe « encodé » et non plus en clair.
[GuiUnattended] EncryptedAdminPassword=Yes
Je n'ai pas été voir la qualité du chiffrage, donc pas taper si c'est juste un XOR... Cependant, cela semble générer 128 octets, donc je pencherais plutôt pour un hash NTLMv1 ou similaire.
Il semble (pas été voir non plus, et encore moins depuis quelle version) par ailleurs que les programmeurs de MS se soient aperçus du bogue précité, et qu'ils _effacent_ le mot de passe en clair (dans le fichier $winnt$.inf) à la fin de l'installation.
Donc au moins sur cette histoire, MS n'est pas complètement à la bourre.
Antoine
Laurent wrote:
(1): notez qu'avec windows on peut faire la même erreur avec les
install "unattended"
Notons qu'au bout de plusieurs années, les programmeurs de Redmond s'en sont
aperçus et maintenant (XP/2003, peut-être même 2000), dans les installations
"unattended" il est possible de mettre le fameux mot en passe « encodé » et
non plus en clair.
[GuiUnattended]
EncryptedAdminPassword=Yes
Je n'ai pas été voir la qualité du chiffrage, donc pas taper si c'est juste
un XOR... Cependant, cela semble générer 128 octets, donc je pencherais
plutôt pour un hash NTLMv1 ou similaire.
Il semble (pas été voir non plus, et encore moins depuis quelle version) par
ailleurs que les programmeurs de MS se soient aperçus du bogue précité, et
qu'ils _effacent_ le mot de passe en clair (dans le fichier $winnt$.inf) à
la fin de l'installation.
Donc au moins sur cette histoire, MS n'est pas complètement à la bourre.
(1): notez qu'avec windows on peut faire la même erreur avec les install "unattended"
Notons qu'au bout de plusieurs années, les programmeurs de Redmond s'en sont aperçus et maintenant (XP/2003, peut-être même 2000), dans les installations "unattended" il est possible de mettre le fameux mot en passe « encodé » et non plus en clair.
[GuiUnattended] EncryptedAdminPassword=Yes
Je n'ai pas été voir la qualité du chiffrage, donc pas taper si c'est juste un XOR... Cependant, cela semble générer 128 octets, donc je pencherais plutôt pour un hash NTLMv1 ou similaire.
Il semble (pas été voir non plus, et encore moins depuis quelle version) par ailleurs que les programmeurs de MS se soient aperçus du bogue précité, et qu'ils _effacent_ le mot de passe en clair (dans le fichier $winnt$.inf) à la fin de l'installation.
Donc au moins sur cette histoire, MS n'est pas complètement à la bourre.
Antoine
SL
R12y s'est exprimé en ces termes:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant des failles relatives à Windows, par exemple?
Mais c'est complètement débile, comme réponse !
Tiens, c'est aussi ce que je me suis dit.
R12y s'est exprimé en ces termes:
Bon sinon, est-ce que tu as fait un tour sur les espaces parlant
des failles relatives à Windows, par exemple?