Da un articolo di quest'oggi su Punto Informatico traspare un inquietante aspetto in quanto nella distro UBUNTU è possibile leggere la password di root semplicemente aprendo, con un editor di testo, il file questions.dat presente nella cartella /var/log/installer/cdebconf/

:confused: :doh: :eek: :ncomment: :boh: :nono: :sob:

L'articolo per intero:

http://punto-informatico.it/p.asp?i=58334

Questo nella Breezy.

Ho su la Dapper (Kubuntu) e se vai dentro quella dir e fai il vi del file questions.dat ti appare vuoto con la scritta permesso negato. ;)


Ciauzzz

E' uscito il fix un ora dopo che circolasse la voce, basta verificare giornalmente se ci sono aggiornamenti di sicurezza eh.

Da: Martin Pitt <martin.pitt@canonical.com>
Rispondi-a: ubuntu-users@lists.ubuntu.com
A: ubuntu-security-announce@lists.ubuntu.com
Cc: full-disclosure@lists.grok.org.uk, bugtraq@securityfocus.com
Oggetto: [USN-262-1] Ubuntu 5.10 installer password disclosure
Data: Mon, 13 Mar 2006 01:31:03 +0100


===========================================================
Ubuntu Security Notice USN-262-1 March 12, 2006
Ubuntu 5.10 installer vulnerability
https://launchpad.net/bugs/34606
===========================================================

A security issue affects the following Ubuntu releases:

Ubuntu 5.10 (Breezy Badger)

The following packages are affected:

base-config
passwd

The problem can be corrected by upgrading the affected package to
version 2.67ubuntu20 (base-config) and 1:4.0.3-37ubuntu8 (passwd). In
general, a standard system upgrade is sufficient to effect the
necessary changes.

Details follow:

Karl Øie discovered that the Ubuntu 5.10 installer failed to clean
passwords in the installer log files. Since these files were
world-readable, any local user could see the password of the first
user account, which has full sudo privileges by default.

The updated packages remove the passwords and additionally make the
log files readable only by root.

This does not affect the Ubuntu 4.10, 5.04, or the upcoming 6.04
installer. However, if you upgraded from Ubuntu 5.10 to the current
development version of Ubuntu 6.04 ('Dapper Drake'), please ensure
that you upgrade the passwd package to version 1:4.0.13-7ubuntu2 to
fix the installer log files.


Source archives:

http://security.ubuntu.com/ubuntu/pool/main/b/base-config/base-config_2.67ubuntu20.dsc
Size/MD5: 758 c22bb6e3be4d59aa93e84327f60e89ab
http://security.ubuntu.com/ubuntu/pool/main/b/base-config/base-config_2.67ubuntu20.tar.gz
Size/MD5: 577194 99eabbe70227169feaff28ff9062d097
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/shadow_4.0.3-37ubuntu8.diff.gz
Size/MD5: 1067297 9db7bb924125a5587380efc08f6787e1
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/shadow_4.0.3-37ubuntu8.dsc
Size/MD5: 876 50cdfae3bfbe1bb1bb4be192d7de19a7
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/shadow_4.0.3.orig.tar.gz
Size/MD5: 1045704 b52dfb2e5e8d9a4a2aae0ca1b266c513

Architecture independent packages:

http://security.ubuntu.com/ubuntu/pool/main/b/base-config/apt-setup-udeb_2.67ubuntu20_all.udeb
Size/MD5: 3298 dd42b2901f6f5d7525083c27cbb23407
http://security.ubuntu.com/ubuntu/pool/main/b/base-config/base-config_2.67ubuntu20_all.deb
Size/MD5: 291224 e95d7a1d25074ea57d444e817cef1850
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/initial-passwd-udeb_4.0.3-37ubuntu8_all.udeb
Size/MD5: 1740 6c7bc8e12968d9876b6e1b27f0476484
http://security.ubuntu.com/ubuntu/pool/main/b/base-config/tzsetup-udeb_2.67ubuntu20_all.udeb
Size/MD5: 2760 f6ebc84fd2bff0275b1e64d53fdc9955

amd64 architecture (Athlon64, Opteron, EM64T Xeon)

http://security.ubuntu.com/ubuntu/pool/main/s/shadow/login_4.0.3-37ubuntu8_amd64.deb
Size/MD5: 180662 de75ded6034f0d7226dfbf0ec66e2be7
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/passwd_4.0.3-37ubuntu8_amd64.deb
Size/MD5: 589790 f90c48af4e1c55202f22127e72dbf45d

i386 architecture (x86 compatible Intel/AMD)

http://security.ubuntu.com/ubuntu/pool/main/s/shadow/login_4.0.3-37ubuntu8_i386.deb
Size/MD5: 171882 347fa929d15c3689bd68fc487cc116c6
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/passwd_4.0.3-37ubuntu8_i386.deb
Size/MD5: 515580 b8c965e4a5c40d1c50e8816aeef689bc

powerpc architecture (Apple Macintosh G3/G4/G5)

http://security.ubuntu.com/ubuntu/pool/main/s/shadow/login_4.0.3-37ubuntu8_powerpc.deb
Size/MD5: 179886 42ebfcd496b621bdab29e9a6b3f50522
http://security.ubuntu.com/ubuntu/pool/main/s/shadow/passwd_4.0.3-37ubuntu8_powerpc.deb
Size/MD5: 568426 089edb3f8110ab191bba6d061b199385

Si va bene la fix immediata,cmq questo a mio avviso non è proprio un buggetto...E' una falla degna dello zione M$ :muro:

No non mi è piaciuta sta cosa arrrghh

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

cmq a mio avviso non è tutto sto granche, poi han gia risolto; dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

...................

Beh sfatiamo il mito che linux sia esenteìda difetti.
Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...


Non è intelligente il fatto che tra tutte le affermazioni che si sentono in giro su Linux tu scelga quelle dei fanboy, le attribuisca alla intera community e poi le attacchi, eh...


dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

Come sopra... chiunque usi Linux e sia una persona di buon senso sa che questo S.O. è scritto da esseri umani quindi è soggetto ad errori.
Niente di nuovo quindi.
E il fix è uscito subito non solo questa volta, ma tutte le volte : QUESTO è uno dei pregi dell'approccio open source.

Editato.

In fondo sono un 'signore'.

oi stiamo calmi, ma che vi ho detto...uso linux da un macello, mi piace, non ho nulla contro e anzi mi piace tanto che in ogni mio pc ho dual boot con win/linux...il fatto che mi si dia in testa cosi per non aver detto alla fin fine nulla di malevolo è abbastanza spiacevole...ho pure elogiato il fatto che il fix sia venuto fuori in cosi poco tempo, e quando ho detto che mi stavo rotolando era un po di autoironia...fatevelo dire, i detrattori di linux trovano un terreno veramente fertile per il flame, sembra quasi di toccare una ferita aperta con un pungolo elettrico tanto si alterano, plz take it easy..ricordate che non ho denigrato linux (anzi da tempo sono passato da win a linux per sempre piu tempo) e che non sto cercando di vendere niente a nessuno, ne tanto meno di screditare ubuntu (che ho sul mio pc principale tra le altre)...

abbandono il 3d alla velocita della luce, quello degli utenti che si sentono attaccati per motivi inesistenti è un fenomeno in crescita continua, mi sta quasi precludento gli interventi...imparate a stare in mezzo alla gente plz.

tra parentesi, visto che mi viene in mente solo ora...prima di trafiggermi con le critiche, fate un giro in debian clan e ubuntu clan di hwupgrade, figuro in entrambi, e in quello di debian da un bel po di tempo anche...a volte, informarsi, prima di sentenziare inequivocabilmente la propria convinzione, sarebbe piu elegante...byez

tra parentesi, visto che mi viene in mente solo ora...prima di trafiggermi con le critiche, fate un giro in debian clan e ubuntu clan di hwupgrade, figuro in entrambi, e in quello di debian da un bel po di tempo anche...a volte, informarsi, prima di sentenziare inequivocabilmente la propria convinzione, sarebbe piu elegante...byez

Ma perché cosa aveva scritto webwolf prima che editasse?
Mi immagino tu non ti riferisca al mio intervento.

non so cos abbia scritto, aveva gia editato...mi dispiace solo per i reply come il tuo, perche in effetti non capisco la cattiveria con cui ti sei scagliato, tanto piu che scusa, rileggendo meglio, quoto me:


dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!


quoto te:

Come sopra... chiunque usi Linux e sia una persona di buon senso sa che questo S.O. è scritto da esseri umani quindi è soggetto ad errori.
Niente di nuovo quindi.
E il fix è uscito subito non solo questa volta, ma tutte le volte : QUESTO è uno dei pregi dell'approccio open source.

non diciamo la stessa cosa? cioe "che bello che il fix sia uscito cosi velocemente"?...pero dal momento che ho letto quasi solo commenti (occhio a leggere bene, ci ho messo un quantificatore 'quasi', che non significa 'tutti', ne tantomeno 'nessuno') che sminuivano l importanza di questa falla, mi sono permesso di fare notare che l obiettivita a volte non è massima, ed è stata la mia fine...ora qualsiasi cosa dica sono colui che detesta linux e in quanto tale o stolto o adoratore di ms, e per giungere a questo luogo comune posso vantare come argomentazione oggettiva i reply seguiti dal mio...ora smetto che in effetti avevo detto che avrei abbandonato, in fondo mi sembra che le posizioni siano un po piu civili adesso, almeno lo spero....ciao e buon proseguimento

Beh sfatiamo il mito che linux sia esenteìda difetti.
Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.
C'è da dire che, se non ho capito male, è il problema di una distribuzione, non di linux.
Se facessi io una distribuzione, sai quante falle ;) ??
Mica sarebbe colpa di linux, quindi in questo caso sposterei il discorso sui realizzatori di kubuntu, per capire se è stato un errore o una castroneria intenzionale di qualcuno del team.

Perchè è troppo grave.... ;)

non so cos abbia scritto, aveva gia editato...mi dispiace solo per i reply come il tuo, perche in effetti non capisco la cattiveria con cui ti sei scagliato, tanto piu che scusa, rileggendo meglio, quoto me:



quoto te:



non diciamo la stessa cosa? cioe "che bello che il fix sia uscito cosi velocemente"?...pero dal momento che ho letto quasi solo commenti (occhio a leggere bene, ci ho messo un quantificatore 'quasi', che non significa 'tutti', ne tantomeno 'nessuno') che sminuivano l importanza di questa falla, mi sono permesso di fare notare che l obiettivita a volte non è massima, ed è stata la mia fine...ora qualsiasi cosa dica sono colui che detesta linux e in quanto tale o stolto o adoratore di ms, e per giungere a questo luogo comune posso vantare come argomentazione oggettiva i reply seguiti dal mio...ora smetto che in effetti avevo detto che avrei abbandonato, in fondo mi sembra che le posizioni siano un po piu civili adesso, almeno lo spero....ciao e buon proseguimento


Vabbè, parliamo due lingue diverse allora, oppure lo strumento del forum non permette di capire quelle sfumature del dialogo che sarebbero chiare a voce.
Ciao.

Avevo scritto: Usate Windows cosi' dovete aspettare il matedì per la patch.

Intendevo dirlo in tono ilare, ma l'ho editato perchè temevo le parole venissero fraintese e si finisse a suon di malintesi come si è fatto.

Ragazzi i bug fanno parte del mondo informatico, certo magari questo è un pò pesantino, anche se personalmente non ci avevo mai pensato ad andare a vedere in quei file, cmq la soluzione è uscita subito e non mi pare che qualcuno sia stato violato, o almeno non ne ho sentiti.
Beh almeno c'è qualcuno che fa uscire i fix un ora dopo la scoperta della falla, c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto :asd:

c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto :asd:
Quello, come bug, puzza ;)
Mi dà più l'idea di uno che installa i bancomat, monta una chiave segreta in caso di evenienza e se lo beccano dice che è stata una svista ;)

Originariamente inviato da Al Azif
c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto
:cincin:


Quello, come bug, puzza ;)
Mi dà più l'idea di uno che installa i bancomat, monta una chiave segreta in caso di evenienza e se lo beccano dice che è stata una svista ;)
:nonio:

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...


No, in quanto Open Source è decisamente più a rischio con la sicurezza, perchè mettere a disposizione i sorgenti è un modo per mettere a nudo anche le proprie debolezze.
Basta leggere, come già consigliato, e si risolvono molti bug ;)


cmq a mio avviso non è tutto sto granche, poi han gia risolto; dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

Non esiste nulla di "sicuro", e tutti lo sappiamo bene. E non esiste neanche nulla di perfetto, anzi, è proprio dimostrato che non si può dire che un programma è "perfetto" a priori, prima di trovarne i bachi.

Beh sfatiamo il mito che linux sia esenteìda difetti.
Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.

Leggete qualche libro sulle architetture dei calcolatori, e poi ne riparliamo.

Le differenze sono moltissime, ed ognuno sceglie ciò che più gli aggrada. Io nello sviluppo UNIX-like dei sistemi operativi vedo più senno e più attenzione ai dettagli.

Anche perchè di quelli Windows so solo quello che loro vogliono farmi sapere.

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

Beh... non mi pare che gli altri SO siano esenti da bug, cmq basta iscriversi alla mailing list di ubuntu riguardante gli avvisi di sicurezza e sarai avvisato via mail di aggiornamenti istantanei senza ogni giorno controllare se ci sono.