Falha crítica no Breezy: senha de root exposta!!!!

Iniciado por galactus, 12 de Março de 2006, 20:12

tópico anterior - próximo tópico

galactus

" Falha crítica no Breezy: senha de root exposta.

Foi lançado no Launchpad uma falha crítica do Ubuntu Breezy. A senha do primeiro usuário adicionado no sistema (processo feito na instalação) pode ser lida no arquivo /var/log/installer/cdebconf/questions.dat. Este arquivo contém informações gerais sobre o processo de instalação e erroneamente exibe também a senha deste usuário que tem privilégios de root.

A que tudo indica, apenas a versão Breezy quando instalada na modalidade padrão apresenta o problema. A variante Kubuntu também foi afetada. As versões prévias do Dapper que já foram lançadas não apresentam essa falha. Caso sua instalação do Ubuntu foi feita de forma diferente da padrão (na qual se pressioa ENTER na tela de boot para inciiar), seria interessante confirmar se sua instalação foi afetada. Para isso, abra o arquivo em questão com seu editor de textos de preferência e procure pelas linhas:

Name: passwd/user-password
Template: passwd/user-password
Value: [sua senha aqui]


Caso encontre sua senha no trecho acima ou tenha instalado o Ubuntu pelo método padrão, siga os seguintes passos para reparar a falha:

- Remova o arquivo digitando no terminal: sudo rm /var/log/installer/cdebconf/questions.dat

2- Logo em seguida troque a senha do usuário digitando no terminal: passwd

Em seguida, será solicitada a sua senha atual. Digite-a e pressione ENTER. Não irão aparecer asteriscos no lugar da senha por medida de segurança. Logo em seguida, será solicitado duas vezes a nova senha. Escolha uma nova senha composta por letras e números.


A falha já está sob análise oficial dos mantenedores do Ubuntu para que erros de mesma ordem sejam evitados ao máximo no futuro. Porém, só o fato das versões prévias (alpha) da próxima versão que será lançada a partir de abril estarem isentas da falha demonstra que esse problema já está resolvido para as versões subseqüentes."

Fonte: KurtKraut do Planeta Ubuntu Brasil

http://planeta.ubuntubrasil.org/

                                                            Problema solucionado!
Então pessoal, sem pânico! :) Usem o seu Update Manager e realizem a atualização do sistema com a correção da falha crítica! A correção do BUG crítico saiu do forno apenas 8 horas depois de terem postado o erro no Bug Report do Ubuntu!   O Update Manager pode ser encontrado em :
Sistema > Administração > Update Manager > Recarregar
BigLinux no Notebook  / Várias Distros Virtualizadas no PC.

galactus

Ainda não foi disponibilizada uma correção pelo Synaptic, mas como a equipe  do Ubuntu trabalha rápido nessas correções críticas, acho que amanhã ou depois já teremos uma correção. Como meu PC fica em Casa não corro tanto risco com este problema tão grave, como em Servidores ou Máquinas de Empresas.

Vou aguardar a correção oficial.
BigLinux no Notebook  / Várias Distros Virtualizadas no PC.

LedStyle

Cara... inadmissível isso! Que falha feia. Achei minha senha la exposta. Ja removi o arquivo mas isso não poderia acontecer por NADA. Consigui dar um "cat" no arquivo como usuário normal!!! Nossa essa falha não poderia existir!

LNAS90

é por esses e outros motivos que concordo com um maior tempo para o dapper, agora como os amigos do plante postaram, é melhor utilizar o wipe para remover os aquivos


sudo apt-get install wipe
wipe /var/log/installer/cdebconf/questions.dat
wipe /var/log/debian-installer/cdebconf/questions.dat
Meu blog (reativado a pouco tempo) http://linux-sem-misterio.blogspot.com/

Joseph

eu nunca confiei em senhas do installer, seja de qualquer operacional, sempre modifico as senhas padrao, mas de qualquer forma, pros mais confiantes, é uma falha enorme, mas isso nao vai desmerecer o merito do ubuntu, tudo se resolve, pior seria se estivessemos no rwindows, e nao tivessemos acesso a essas informacoes.

LNAS90

só pra constar, ja saiu a atualização do ubuntu, bom pelo menos o pessoal trabalha muito rapido mesmo

parabens pra eles
Meu blog (reativado a pouco tempo) http://linux-sem-misterio.blogspot.com/

galactus

Citação de: "LNAS90"só pra constar, ja saiu a atualização do ubuntu, bom pelo menos o pessoal trabalha muito rapido mesmo

parabens pra eles

:)

Mas eu te disse, eu te disse! :)

O pessoal postou a falha crítica no bug report a 8 horas atrás e já temos a resolução do problema!

Foram modificados os seguintes pacotes:

base-config, login e passwd, totalizando 979K a serem baixados!

Meu sistema está atualizado e protegido. Agora me digam, alguém têm notícia da MS ser tão rápida nas correções de erros críticos de seu SO?

Té+
BigLinux no Notebook  / Várias Distros Virtualizadas no PC.

Magneto

Estes pacotes estão sendo atualizados agora mesmo no Dapper.

galactus

Que beleza hein, já devem ter tomado mais algumas precauções no Dapper, mesmo não tendo sido reportado a mesma falha do Breezy.

Fiz a busca do arquivo com BUG depois da atualização e não tem mais nada, nem sinal do arquivo.  Antes tava tudo lá, minhas senhas todas a mostra.
BigLinux no Notebook  / Várias Distros Virtualizadas no PC.

LNAS90

realmente o pessoa merece respeito, são rapidos na correção das falhas
Meu blog (reativado a pouco tempo) http://linux-sem-misterio.blogspot.com/

Jesus

Depos de uns 15 ou 20 dias de instalado eu andei desconfiando do comportamento do meu pc: troquei a senha e adicionei uma senha root. Agora, só pra confirmar, fui lá no arquivo, sem usar o sudo, e encontrei a primeira senha bem gravadinha.