Ubuntu, la password di root è nuda

borexino · 14-03-2006, 13:19

Da un articolo di quest'oggi su Punto Informatico traspare un inquietante aspetto in quanto nella distro UBUNTU è possibile leggere la password di root semplicemente aprendo, con un editor di testo, il file questions.dat presente nella cartella /var/log/installer/cdebconf/

L'articolo per intero:

http://punto-informatico.it/p.asp?i=58334

VIPER · 14-03-2006, 13:44

Questo nella Breezy.

Ho su la Dapper (Kubuntu) e se vai dentro quella dir e fai il vi del file questions.dat ti appare vuoto con la scritta permesso negato.

Ciauzzz

Al Azif · 14-03-2006, 13:58

E' uscito il fix un ora dopo che circolasse la voce, basta verificare giornalmente se ci sono aggiornamenti di sicurezza eh.

Quote:

Da: Martin Pitt <[email protected]>
Rispondi-a: [email protected]
A: [email protected]
Cc: [email protected], [email protected]
Oggetto: [USN-262-1] Ubuntu 5.10 installer password disclosure
Data: Mon, 13 Mar 2006 01:31:03 +0100

===========================================================
Ubuntu Security Notice USN-262-1 March 12, 2006
Ubuntu 5.10 installer vulnerability
https://launchpad.net/bugs/34606
===========================================================

A security issue affects the following Ubuntu releases:

Ubuntu 5.10 (Breezy Badger)

The following packages are affected:

base-config
passwd

The problem can be corrected by upgrading the affected package to
version 2.67ubuntu20 (base-config) and 1:4.0.3-37ubuntu8 (passwd). In
general, a standard system upgrade is sufficient to effect the
necessary changes.

Details follow:

Karl Øie discovered that the Ubuntu 5.10 installer failed to clean
passwords in the installer log files. Since these files were
world-readable, any local user could see the password of the first
user account, which has full sudo privileges by default.

The updated packages remove the passwords and additionally make the
log files readable only by root.

This does not affect the Ubuntu 4.10, 5.04, or the upcoming 6.04
installer. However, if you upgraded from Ubuntu 5.10 to the current
development version of Ubuntu 6.04 ('Dapper Drake'), please ensure
that you upgrade the passwd package to version 1:4.0.13-7ubuntu2 to
fix the installer log files.

Source archives:

http://security.ubuntu.com/ubuntu/po...67ubuntu20.dsc
Size/MD5: 758 c22bb6e3be4d59aa93e84327f60e89ab
http://security.ubuntu.com/ubuntu/po...buntu20.tar.gz
Size/MD5: 577194 99eabbe70227169feaff28ff9062d097
http://security.ubuntu.com/ubuntu/po...buntu8.diff.gz
Size/MD5: 1067297 9db7bb924125a5587380efc08f6787e1
http://security.ubuntu.com/ubuntu/po...-37ubuntu8.dsc
Size/MD5: 876 50cdfae3bfbe1bb1bb4be192d7de19a7
http://security.ubuntu.com/ubuntu/po....3.orig.tar.gz
Size/MD5: 1045704 b52dfb2e5e8d9a4a2aae0ca1b266c513

Architecture independent packages:

http://security.ubuntu.com/ubuntu/po...ntu20_all.udeb
Size/MD5: 3298 dd42b2901f6f5d7525083c27cbb23407
http://security.ubuntu.com/ubuntu/po...untu20_all.deb
Size/MD5: 291224 e95d7a1d25074ea57d444e817cef1850
http://security.ubuntu.com/ubuntu/po...untu8_all.udeb
Size/MD5: 1740 6c7bc8e12968d9876b6e1b27f0476484
http://security.ubuntu.com/ubuntu/po...ntu20_all.udeb
Size/MD5: 2760 f6ebc84fd2bff0275b1e64d53fdc9955

amd64 architecture (Athlon64, Opteron, EM64T Xeon)

http://security.ubuntu.com/ubuntu/po...ntu8_amd64.deb
Size/MD5: 180662 de75ded6034f0d7226dfbf0ec66e2be7
http://security.ubuntu.com/ubuntu/po...ntu8_amd64.deb
Size/MD5: 589790 f90c48af4e1c55202f22127e72dbf45d

i386 architecture (x86 compatible Intel/AMD)

http://security.ubuntu.com/ubuntu/po...untu8_i386.deb
Size/MD5: 171882 347fa929d15c3689bd68fc487cc116c6
http://security.ubuntu.com/ubuntu/po...untu8_i386.deb
Size/MD5: 515580 b8c965e4a5c40d1c50e8816aeef689bc

powerpc architecture (Apple Macintosh G3/G4/G5)

http://security.ubuntu.com/ubuntu/po...u8_powerpc.deb
Size/MD5: 179886 42ebfcd496b621bdab29e9a6b3f50522
http://security.ubuntu.com/ubuntu/po...u8_powerpc.deb
Size/MD5: 568426 089edb3f8110ab191bba6d061b199385

borexino · 14-03-2006, 14:05

Si va bene la fix immediata,cmq questo a mio avviso non è proprio un buggetto...E' una falla degna dello zione M$

No non mi è piaciuta sta cosa arrrghh

dnarod · 14-03-2006, 14:20

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

cmq a mio avviso non è tutto sto granche, poi han gia risolto; dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

e-Tip · 14-03-2006, 19:23

Quote:

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

...................

Naval · 14-03-2006, 20:41

Beh sfatiamo il mito che linux sia esenteìda difetti.
Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.

Tadde · 14-03-2006, 20:57

Quote:

Originariamente inviato da dnarod

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

Non è intelligente il fatto che tra tutte le affermazioni che si sentono in giro su Linux tu scelga quelle dei fanboy, le attribuisca alla intera community e poi le attacchi, eh...

Quote:

Originariamente inviato da dnarod

dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

Come sopra... chiunque usi Linux e sia una persona di buon senso sa che questo S.O. è scritto da esseri umani quindi è soggetto ad errori.
Niente di nuovo quindi.
E il fix è uscito subito non solo questa volta, ma tutte le volte : QUESTO è uno dei pregi dell'approccio open source.

WebWolf · 14-03-2006, 21:11

Editato.

In fondo sono un 'signore'.

dnarod · 14-03-2006, 21:29

oi stiamo calmi, ma che vi ho detto...uso linux da un macello, mi piace, non ho nulla contro e anzi mi piace tanto che in ogni mio pc ho dual boot con win/linux...il fatto che mi si dia in testa cosi per non aver detto alla fin fine nulla di malevolo è abbastanza spiacevole...ho pure elogiato il fatto che il fix sia venuto fuori in cosi poco tempo, e quando ho detto che mi stavo rotolando era un po di autoironia...fatevelo dire, i detrattori di linux trovano un terreno veramente fertile per il flame, sembra quasi di toccare una ferita aperta con un pungolo elettrico tanto si alterano, plz take it easy..ricordate che non ho denigrato linux (anzi da tempo sono passato da win a linux per sempre piu tempo) e che non sto cercando di vendere niente a nessuno, ne tanto meno di screditare ubuntu (che ho sul mio pc principale tra le altre)...

abbandono il 3d alla velocita della luce, quello degli utenti che si sentono attaccati per motivi inesistenti è un fenomeno in crescita continua, mi sta quasi precludento gli interventi...imparate a stare in mezzo alla gente plz.

dnarod · 14-03-2006, 23:44

tra parentesi, visto che mi viene in mente solo ora...prima di trafiggermi con le critiche, fate un giro in debian clan e ubuntu clan di hwupgrade, figuro in entrambi, e in quello di debian da un bel po di tempo anche...a volte, informarsi, prima di sentenziare inequivocabilmente la propria convinzione, sarebbe piu elegante...byez

Tadde · 15-03-2006, 00:10

Quote:

Originariamente inviato da dnarod

tra parentesi, visto che mi viene in mente solo ora...prima di trafiggermi con le critiche, fate un giro in debian clan e ubuntu clan di hwupgrade, figuro in entrambi, e in quello di debian da un bel po di tempo anche...a volte, informarsi, prima di sentenziare inequivocabilmente la propria convinzione, sarebbe piu elegante...byez

Ma perché cosa aveva scritto webwolf prima che editasse?
Mi immagino tu non ti riferisca al mio intervento.

dnarod · 15-03-2006, 01:19

non so cos abbia scritto, aveva gia editato...mi dispiace solo per i reply come il tuo, perche in effetti non capisco la cattiveria con cui ti sei scagliato, tanto piu che scusa, rileggendo meglio, quoto me:

Quote:

dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

quoto te:

Quote:

Come sopra... chiunque usi Linux e sia una persona di buon senso sa che questo S.O. è scritto da esseri umani quindi è soggetto ad errori.
Niente di nuovo quindi.
E il fix è uscito subito non solo questa volta, ma tutte le volte : QUESTO è uno dei pregi dell'approccio open source.

non diciamo la stessa cosa? cioe "che bello che il fix sia uscito cosi velocemente"?...pero dal momento che ho letto quasi solo commenti (occhio a leggere bene, ci ho messo un quantificatore 'quasi', che non significa 'tutti', ne tantomeno 'nessuno') che sminuivano l importanza di questa falla, mi sono permesso di fare notare che l obiettivita a volte non è massima, ed è stata la mia fine...ora qualsiasi cosa dica sono colui che detesta linux e in quanto tale o stolto o adoratore di ms, e per giungere a questo luogo comune posso vantare come argomentazione oggettiva i reply seguiti dal mio...ora smetto che in effetti avevo detto che avrei abbandonato, in fondo mi sembra che le posizioni siano un po piu civili adesso, almeno lo spero....ciao e buon proseguimento

pinok · 15-03-2006, 01:35

Quote:

Originariamente inviato da Naval

Beh sfatiamo il mito che linux sia esenteìda difetti.
Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.

C'è da dire che, se non ho capito male, è il problema di una distribuzione, non di linux.
Se facessi io una distribuzione, sai quante falle

??
Mica sarebbe colpa di linux, quindi in questo caso sposterei il discorso sui realizzatori di kubuntu, per capire se è stato un errore o una castroneria intenzionale di qualcuno del team.

Perchè è troppo grave....

Tadde · 15-03-2006, 19:03

Quote:

Originariamente inviato da dnarod

non so cos abbia scritto, aveva gia editato...mi dispiace solo per i reply come il tuo, perche in effetti non capisco la cattiveria con cui ti sei scagliato, tanto piu che scusa, rileggendo meglio, quoto me:

quoto te:

non diciamo la stessa cosa? cioe "che bello che il fix sia uscito cosi velocemente"?...pero dal momento che ho letto quasi solo commenti (occhio a leggere bene, ci ho messo un quantificatore 'quasi', che non significa 'tutti', ne tantomeno 'nessuno') che sminuivano l importanza di questa falla, mi sono permesso di fare notare che l obiettivita a volte non è massima, ed è stata la mia fine...ora qualsiasi cosa dica sono colui che detesta linux e in quanto tale o stolto o adoratore di ms, e per giungere a questo luogo comune posso vantare come argomentazione oggettiva i reply seguiti dal mio...ora smetto che in effetti avevo detto che avrei abbandonato, in fondo mi sembra che le posizioni siano un po piu civili adesso, almeno lo spero....ciao e buon proseguimento

Vabbè, parliamo due lingue diverse allora, oppure lo strumento del forum non permette di capire quelle sfumature del dialogo che sarebbero chiare a voce.
Ciao.

WebWolf · 15-03-2006, 19:29

Avevo scritto: Usate Windows cosi' dovete aspettare il matedì per la patch.

Intendevo dirlo in tono ilare, ma l'ho editato perchè temevo le parole venissero fraintese e si finisse a suon di malintesi come si è fatto.

Al Azif · 16-03-2006, 12:45

Ragazzi i bug fanno parte del mondo informatico, certo magari questo è un pò pesantino, anche se personalmente non ci avevo mai pensato ad andare a vedere in quei file, cmq la soluzione è uscita subito e non mi pare che qualcuno sia stato violato, o almeno non ne ho sentiti.
Beh almeno c'è qualcuno che fa uscire i fix un ora dopo la scoperta della falla, c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto

pinok · 16-03-2006, 13:50

Quote:

Originariamente inviato da Al Azif

c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto

Quello, come bug, puzza

Mi dà più l'idea di uno che installa i bancomat, monta una chiave segreta in caso di evenienza e se lo beccano dice che è stata una svista

borexino · 16-03-2006, 14:02

Quote:

Originariamente inviato da Al Azif
c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto

Quote:

Originariamente inviato da pinok

Quello, come bug, puzza

Mi dà più l'idea di uno che installa i bancomat, monta una chiave segreta in caso di evenienza e se lo beccano dice che è stata una svista

Scoperchiatore · 16-03-2006, 19:28

Quote:

Originariamente inviato da dnarod

si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando...

No, in quanto Open Source è decisamente più a rischio con la sicurezza, perchè mettere a disposizione i sorgenti è un modo per mettere a nudo anche le proprie debolezze.
Basta leggere, come già consigliato, e si risolvono molti bug

Quote:

cmq a mio avviso non è tutto sto granche, poi han gia risolto; dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi!

Non esiste nulla di "sicuro", e tutti lo sappiamo bene. E non esiste neanche nulla di perfetto, anzi, è proprio dimostrato che non si può dire che un programma è "perfetto" a priori, prima di trovarne i bachi.

14-03-2006, 13:19	#1
borexino Senior Member Iscritto dal: Feb 2005 Messaggi: 374	Ubuntu, la password di root è nuda Da un articolo di quest'oggi su Punto Informatico traspare un inquietante aspetto in quanto nella distro UBUNTU è possibile leggere la password di root semplicemente aprendo, con un editor di testo, il file questions.dat presente nella cartella /var/log/installer/cdebconf/ L'articolo per intero: http://punto-informatico.it/p.asp?i=58334 __________________ La ditta PATISCE ma non FALLISCE!!!! Ultima modifica di borexino : 14-03-2006 alle 13:24.

14-03-2006, 13:44	#2
VIPER Senior Member Iscritto dal: Jul 1999 Messaggi: 307	Questo nella Breezy. Ho su la Dapper (Kubuntu) e se vai dentro quella dir e fai il vi del file questions.dat ti appare vuoto con la scritta permesso negato. Ciauzzz __________________ JU29RO - iMac 17@Core2Duo 2Ghz - 3 Gb Ram + MacBook Bianco 2,4GHz (Penryn) 4Gb 320 hd - iPhone 2G - iPhone 3GS 32 Gb White and Sony Vaio P with OSX Snow Leopard 10.6.1

14-03-2006, 14:05	#4
borexino Senior Member Iscritto dal: Feb 2005 Messaggi: 374	Si va bene la fix immediata,cmq questo a mio avviso non è proprio un buggetto...E' una falla degna dello zione M$ No non mi è piaciuta sta cosa arrrghh __________________ La ditta PATISCE ma non FALLISCE!!!!

14-03-2006, 14:20	#5
dnarod Senior Member Iscritto dal: Nov 2002 Messaggi: 4329	si bastera anche verificare giornalmente, ma non era linux che bastava installarlo e non pensarci piu (alla security intendo)? com è che ora bisogna controllare giornalmente della security?? lol mi sto rotolando... cmq a mio avviso non è tutto sto granche, poi han gia risolto; dopo episodi come questo pero, imho bisognerebbe ripensare a tutte le volte che si sbandiera linu>all e lasciare uno spiraglio di dubbio, un barlume di moderatezza...l errore non è un eventualita remota, fa parte dell uomo, e linux non ne è assolutamente esente...l importante è, come fanno tutti, cercare di risolvere ragionevolmente i problemi che inevitabilmente si verificano, questo imho è sufficiente per definire un lavoro "soddisfacente"...in questo caso il fix è uscito subito, ottima cosa direi! __________________ \|18k+\|slk800\|a7n8x\|1Gb/ddr400\|Gf4mx440\|Pio108\|WD 160Gb\|Case\|Uni\|Album\|AnimeClick\|OneManga\| \|ClassicThrash!\|BNR Metal\|TrueMetal\|Dime\|Chuck\|

14-03-2006, 21:11	#9
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Editato. In fondo sono un 'signore'. __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

14-03-2006, 20:41	#7
Naval Junior Member Iscritto dal: Nov 2005 Messaggi: 10	Beh sfatiamo il mito che linux sia esenteìda difetti. Sono convito che linux ha gli stessi bug di windows, con quantità minori ovvio, e che il suo punto di forza, oltre ad essere open source, è quella di avere una comunity in grado di fixare i problemi in tempi celeri.

14-03-2006, 21:29	#10
dnarod Senior Member Iscritto dal: Nov 2002 Messaggi: 4329	oi stiamo calmi, ma che vi ho detto...uso linux da un macello, mi piace, non ho nulla contro e anzi mi piace tanto che in ogni mio pc ho dual boot con win/linux...il fatto che mi si dia in testa cosi per non aver detto alla fin fine nulla di malevolo è abbastanza spiacevole...ho pure elogiato il fatto che il fix sia venuto fuori in cosi poco tempo, e quando ho detto che mi stavo rotolando era un po di autoironia...fatevelo dire, i detrattori di linux trovano un terreno veramente fertile per il flame, sembra quasi di toccare una ferita aperta con un pungolo elettrico tanto si alterano, plz take it easy..ricordate che non ho denigrato linux (anzi da tempo sono passato da win a linux per sempre piu tempo) e che non sto cercando di vendere niente a nessuno, ne tanto meno di screditare ubuntu (che ho sul mio pc principale tra le altre)... abbandono il 3d alla velocita della luce, quello degli utenti che si sentono attaccati per motivi inesistenti è un fenomeno in crescita continua, mi sta quasi precludento gli interventi...imparate a stare in mezzo alla gente plz. __________________ \|18k+\|slk800\|a7n8x\|1Gb/ddr400\|Gf4mx440\|Pio108\|WD 160Gb\|Case\|Uni\|Album\|AnimeClick\|OneManga\| \|ClassicThrash!\|BNR Metal\|TrueMetal\|Dime\|Chuck\|

14-03-2006, 23:44	#11
dnarod Senior Member Iscritto dal: Nov 2002 Messaggi: 4329	tra parentesi, visto che mi viene in mente solo ora...prima di trafiggermi con le critiche, fate un giro in debian clan e ubuntu clan di hwupgrade, figuro in entrambi, e in quello di debian da un bel po di tempo anche...a volte, informarsi, prima di sentenziare inequivocabilmente la propria convinzione, sarebbe piu elegante...byez __________________ \|18k+\|slk800\|a7n8x\|1Gb/ddr400\|Gf4mx440\|Pio108\|WD 160Gb\|Case\|Uni\|Album\|AnimeClick\|OneManga\| \|ClassicThrash!\|BNR Metal\|TrueMetal\|Dime\|Chuck\|

15-03-2006, 19:29	#16
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Avevo scritto: Usate Windows cosi' dovete aspettare il matedì per la patch. Intendevo dirlo in tono ilare, ma l'ho editato perchè temevo le parole venissero fraintese e si finisse a suon di malintesi come si è fatto. __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

16-03-2006, 12:45	#17
Al Azif Senior Member Iscritto dal: Jul 2002 Città: Potenza Messaggi: 1137	Ragazzi i bug fanno parte del mondo informatico, certo magari questo è un pò pesantino, anche se personalmente non ci avevo mai pensato ad andare a vedere in quei file, cmq la soluzione è uscita subito e non mi pare che qualcuno sia stato violato, o almeno non ne ho sentiti. Beh almeno c'è qualcuno che fa uscire i fix un ora dopo la scoperta della falla, c'è qualcun'altro che sa da anni di avere un bug critico in un formato di immagine propetario e non fa nulla per metterlo a posto __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email