Faille de sécurité majeure dans Ubuntu 5.10

Posté par  . Modéré par Nÿco.
Étiquettes :
0
13
mar.
2006
Ubuntu
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.

On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.

Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !

Aller plus loin

  • # Enorme

    Posté par  . Évalué à 10.

    C'est énorme comme faille ! Je me demande comment ca se fais que personne ne l'aies remarqué .
    • [^] # Re: Enorme

      Posté par  . Évalué à 10.

      si quelqu'un l'a remarqué ;)

      c'est vrai que je trouve ça énorme moi aussi. heuresement que quelques personnes passent le système en revue lors de l'install pour y découvrir des failles.

      donc un grand merci à cet utilisateur, même si je ne suis pas Ubuntusien.
    • [^] # Re: Enorme

      Posté par  . Évalué à -6.

      Faudrait demander à Nahuel lui qui vnte sans cesse cette dstribution, comme étant la Windows killer distro
      • [^] # Re: Enorme

        Posté par  (site web personnel) . Évalué à 10.

        Ce genre de faille n'est pas trop préoccupante pour Mme Michu, puisqu'il est nécessaire d'avoir un accès à la machine pour pouvoir l'exploiter.
        À moins que Mme Michu installe un serveur telnet pour son petit fils ...
        • [^] # Re: Enorme

          Posté par  (site web personnel) . Évalué à 10.

          /me aimerait bien connaitre cette fameuse Mme Michu, cette utilisatrice novice mais éclairée, élue par le commun des mortels pour parler en leur nom ! Quelle gloire ! quel honneur !
          Ses conseils sont censés propulser au sommet n'importe quel éditeur de logiciel !

          tiens, on me souffle dans l'oreillette que c'est ma mère !?
        • [^] # Re: Enorme

          Posté par  (site web personnel) . Évalué à 6.

          Oui, enfin, un linux ou tu peux passer root sans peine, c'est pas tellement mieux sécurisé qu'un windows 95. Et Mme Michu, elle a eu pleins de virus sous Windows 95, mais elle sait qu'il n'y a pas de virus sous Linux, c'est son fils qui lui a dit.
          • [^] # Re: Enorme

            Posté par  . Évalué à 3.

            le petit Jean-Kevin ?
          • [^] # Re: Enorme

            Posté par  (site web personnel) . Évalué à 4.

            Oui, mais Mme Michu avait fait ses mises à jour de sécurité comme le petit icône en haut à gauche le lui annonçait. Du coup, tout va bien.
  • # Je n'ai jamais compris pourquoi...

    Posté par  . Évalué à 3.

    Je n'ai jamais compris pourquoi sur la quasi totalité des distributions, les fichiers /var/log sont accessible à n'importe qui.
    • [^] # Re: Je n'ai jamais compris pourquoi...

      Posté par  . Évalué à 6.

      Et dans d'autres distribs, genre Mandriva en mode paranoîaque, le root (/) n'est même pas accessible :D

      Question de politique.

      Ce qui m'étonne plus, c'est pourquoi un audit ne commence pas par "grep -ir <mot de passe root> /", ou qq chose comme ça!
      • [^] # Re: Je n'ai jamais compris pourquoi...

        Posté par  . Évalué à 9.

        oui, quand je pense que j'ai vu des gens faire crasher un processus pour dumper la mémoire et regarder si le mot de passe n'est pas en clair dedans, il y a encore du chemin à faire pour Ubuntu :)
      • [^] # Re: Je n'ai jamais compris pourquoi...

        Posté par  . Évalué à 4.

        En fait, le mot de passe root ne devrait se retrouver en clair nulle part, même pas dans un fichier accessible seulement en root. C'est là ma principale critique face à l'installeur d'ubuntu. Et parions qu'avec l'explosion du nombre de distributions, ce genre de gaffes sera de plus en plus fréquente.
        • [^] # Re: Je n'ai jamais compris pourquoi...

          Posté par  . Évalué à 5.

          je ne pense pas qu'un grand nombre de distrib soit viable. et a quoi cela sert-il de réinventer la roue ?

          c'est très bien qu'il existe des distributions spécialisés dans certains domaines mais je pense qu'il est préférable qu'elles aient une base commune pour justement unifier les efforts dans un même sens.
        • [^] # Re: Je n'ai jamais compris pourquoi...

          Posté par  . Évalué à 1.

          Le seul probleme, c'est qu'il sera presque a coup sur dans /proc/kcore (deja experimente), a moins que tu ne te loggues jamais en root apres que la machine ait boote...
          Bon apres c'est quand meme pas evident a retrouver parmi un dump memoire, surtout si on utilise des caracteres speciaux.
      • [^] # Re: Je n'ai jamais compris pourquoi...

        Posté par  . Évalué à 5.

        Et un petit nettoyage de .bash_history après le grep pour ne pas laisser traîner le mot de passe dans un endroit de plus ;)
    • [^] # Re: Je n'ai jamais compris pourquoi...

      Posté par  . Évalué à 1.

      > Je n'ai jamais compris pourquoi sur la quasi totalité des distributions, les fichiers /var/log sont accessible à n'importe qui.

      Pas dans gentoo toujours...
    • [^] # Re: Je n'ai jamais compris pourquoi...

      Posté par  . Évalué à 4.

      Ben pourquoi pas ?
      En general, y a pas que des choses secretes dans /var/log ...
      • [^] # Re: Je n'ai jamais compris pourquoi...

        Posté par  . Évalué à 3.

        Parce qu'un jour, tu vas te tromper et taper ton mdp root ou autre comme login (ça m'est déjà arrivé). Et dans /var/log/messages tu trouveras (tes blessures et tes faiblesses) :
        Mar 15 13:39:58 machine su[10703]: FAILED su for MDPROOT by USERDISTRAIT
        Facheux, non ?
        • [^] # Re: Je n'ai jamais compris pourquoi...

          Posté par  . Évalué à 1.

          Perso ça m'est arrivé plusieurs fois ...
          En même temps, ça m'oblige à changer le mot de passe et indirectement ça fait travailler ma mémoire car les mdp comme ça : %2fh;T/1hQbs c'est pas facile à retenir ;)
      • [^] # Re: Je n'ai jamais compris pourquoi...

        Posté par  . Évalué à 2.

        Eh bien, je pense moi qu'il n'y a plutôt que des choses secrètes qui ne devraient pas être visibles par un utilisateur normal.

        Pourquoi aurais-je envie, en tant qu'utilisateur, de savoir à quelle heure a été démarré ou stoppé tel service, etc ? L'utilisateur qui va fouiner dans /var/log a un comportement suspect. On ne se rend pas compte la quantité d'informations intéressantes disponibles dans /var/log. Pareil pour les fichiers de configurations des services qui ne devraient pas être accessibles aux utilisateurs normaux.
        • [^] # Re: Je n'ai jamais compris pourquoi...

          Posté par  . Évalué à 1.

          Je suis d'accord mais parfois, c'est plutôt cool de pouvoir regarder dans les
          fichiers de config.

          Genre, quand on doit faire un TP de oueb+PHP et que, le jour du TP, on
          réalise qu'on ne sait pas où les étudiants doivent mettre leurs fichiers
          parce que l'admi a eu la double bonne idée de changer le répertoire
          usuel (public_html) et de rentrer chez lui à 14h.

          Comment ça, c'est du vécu?
        • [^] # Re: Je n'ai jamais compris pourquoi...

          Posté par  . Évalué à -1.

          La curiosite est un comportement normal, la considerer
          comme un comportement suspect .

          Sans le repertoire /var/log accessible et le
          repertoire /etc accessible , je pense que je n'aurais pas
          ameliore mes competences unix .
    • [^] # Re: Je n'ai jamais compris pourquoi...

      Posté par  . Évalué à 1.

      sous ma bonne vieille sarge, moi j'ai

      -rw-r----- 1 root adm 26231 2006-03-17 10:00 auth.log
      -rw-r----- 1 root adm 277948 2006-03-12 06:47 auth.log.0

      C'est pas mal comme principe je trouve.
  • # Obligatoire...

    Posté par  . Évalué à 3.

    Et comment diable une nouvelle d'une telle importance est reléguée sur la deuxième page??
    • [^] # Re: Obligatoire...

      Posté par  (site web personnel) . Évalué à 10.

      Parceque sinon, d'autres personnes auraient critiquées le fait que cette nouvelle soit en première page.
      • [^] # Re: Obligatoire...

        Posté par  . Évalué à 4.

        de plus, si on suit le lien qui report le bug, dans le dernier message, a l'heure actuel, il est ecrit :
        - shadow (1:4.0.3-37ubuntu8) breezy-security; urgency=low
        - base-config (2.67ubuntu20) breezy-security; urgency=low
        - shadow (1:4.0.13-7ubuntu2) dapper; urgency=low
        - cdebconf (0.97ubuntu3) dapper; urgency=low

        donc si ubuntu le considère en basse priorité ...
        • [^] # Re: Obligatoire...

          Posté par  . Évalué à 2.

          C'est expliqué dans le bug report : en gros le mec qui a fait le correctif était tellement pressé qu'il a pas fait gaffe a ce détail. En pratique ça ne change pas grand chose.
          • [^] # Re: Obligatoire...

            Posté par  (site web personnel) . Évalué à 2.

            Ouais, c'est à ça que ça sert d'avoir une procédure de QA avant d'uploader les paquets un dimanche, pour faire des tests, etc. C'est le genre de procédure qualité qu'on trouve ailleurs, quoi qu'on en dise. Enfin, ç'est rien de grave, ça aurais pu être un truc non mineur qui aurait été oublié.

            Mais c'est vrai que le bug ayant été rendu publique ( riche idée ), et dans la mesure ou launchpad ne supporte pas de masquer un bug ( au contraire de bugzilla qui a un systéme d'acl un peu plus fin ), il fallait faire vite, ça fait que 5 mois que c'est comme ça, faut surtout pas que ça attende 1 ou 2 jours de plus.

            Si quelqu'un peut envoyer un patch pour ajouter la feature à launchpad, ça bénéficiras à tous.

            En plus, les utilisateurs ayant tendance à garder les mêmes mots de passes, une réaction rapide s'imposait, et finalement base-config est pas si important.
            Un chmod mal placé aurait rien eu de particulier comme conséquence.

            Bon, bien sur, maintenant, on peut douté des audits (http://0pointer.de/blog/projects/avahi-0.6.3.html ) de sécurité d'ubuntu, sauf à considérer qu'ils en font pas pour leur propre soft. Aprés tout, on peut pas se concentrer sur la sécurité et sur la convivialité, on voit ce que ça donne sur openbsd.

            Et je ne doute pas que tout sera vite oublié dans 6 mois, vu la mémoire selective des linuxiens ( et des ubuntistes en particulier ), suffit de voir le nombre qui pense que canonical à inventé l'idée d'utiliser sudo, alors que ça vient de macosX, etc.
            • [^] # Re: Obligatoire...

              Posté par  . Évalué à 2.

              vu la mémoire selective des linuxiens ( et des ubuntistes en particulier ), suffit de voir le nombre qui pense que canonical à inventé l'idée d'utiliser sudo, alors que ça vient de macosX


              Mais oui, bien sûr...

              Sudo was first conceived and implemented by Bob Coggeshall and Cliff Spencer around 1980 ...
              An updated version, ..., was posted to the net.sources newsgroup
              in December of 1985.
              In the Summer of 1986, Garth Snyder released and enhanced version of sudo.
              ...
              In 1991, Dave Hieb and Jeff Nieusma wrote a new version of sudo
              ...
              This version was later released under the GNU public license.
              In 1994, ..., Todd Miller made a public release of "CU sudo" (version 1.3)
              ...


              etc. etc.

              "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

              • [^] # Re: Obligatoire...

                Posté par  (site web personnel) . Évalué à 3.

                "utiliser" <> "inventer".

                Si tu es ubuntiste, tu devrais savoir que sudo est utilisé énormément dans cette distro (la seule à l'avoir configuré de la sorte). Si tu l'es pas, renseigne-toi.
                • [^] # Re: Obligatoire...

                  Posté par  . Évalué à 1.

                  Non, Apple le fait depuis des années sur OS X.
                  Ubuntu n'est pas la seule a l'avoir configuré de la sorte.
                • [^] # Re: Obligatoire...

                  Posté par  . Évalué à 3.

                  Eh ?
                  Mon message répondait à l'idée fausse que Sudo viendrait de MacOSX.
                  D'autre part Ubuntu n'est pas la seule distribution à l'utiliser (mais de façon aussi complète, je crois que oui).

                  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

                  • [^] # Re: Obligatoire...

                    Posté par  (site web personnel) . Évalué à 2.

                    Au temps pour moi. Ton message (avec les dates en gras et ne parlant pas trop de MacOsX) n'est pas très explicite.
        • [^] # Re: Obligatoire...

          Posté par  . Évalué à 7.

          Le champ "urgency" pour les paquets Debian permet de definir au bout de combien de jours ils doivent etre propagés de unstable vers testing (low=10, medium=5, high=2). Vu que le mécanisme de propagation n'existe pas chez Ubuntu, cette valeur n'a a l'arrivée aucun effet, comme dit juste au dessus.
    • [^] # Re: Obligatoire...

      Posté par  (site web personnel) . Évalué à 10.

      La faille est déjà corrigée, tout ce qu'il ya à faire, c'est mettre à jour sa distribution. Donc bof. Le truc interessant mais que pas grand monde n'a relevé apparamment, c'est l'explication coté développeur de l'histoire: http://www.ubuntuforums.org/showpost.php?p=818037&postco(...)
    • [^] # Re: Obligatoire...

      Posté par  (site web personnel) . Évalué à 1.

      Parce que sinon, ça aurait un gros troll pour trois fois rien.
      • [^] # Re: Obligatoire...

        Posté par  . Évalué à 6.

        3 fois rien... hem. euhh... comment dire?

        Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.

        Ajoutons à ça le fait que beaucoup de personnes ont une ubuntu car elle est facile à utiliser et a été installée par leur pote geek ce qui veut dire qu'un grand nombre d'ubuntu ne vont pas être mises à jour avant un certain temps (car utilisées par des gens normaux).

        Je sais pas pourquoi mais quelque chose me dit que tu n'aurais pas considéré ca comme "trois fois rien" si une faille du meme type avait été découverte sous Windows. Et que ca aurait meme fait une nouvelle génération de blagues sur win pendant les 5 prochaines années (oui parce que celles avec les écrans bleus, elles commencent à être un peu périmées...).

        Alors je sais bien que ubuntu c'est une excellente dstribution et tout tout, je suis le premier à le dire, mais quand une GROSSE erreur est commise il faut savoir le reconnaître, d'ailleurs le titre de la news le dit bien : "faille de sécurité majeure". Je ne comprends pas pourquoi cette information est considérée comme secondaire, surtout vu le nombre d'ubuntistes qui trainent par ici...

        M'enfin bon...
        • [^] # Re: Obligatoire...

          Posté par  . Évalué à -1.

          non, les ecrans bleu il y en a encore,
          J'ai un windows 2003 serveur SP1 et a jour qui c'est lamentablement vautré hier apres midi plantant 40 personnes pendant 1 heure....
          Heureusement les services tournant sous notre linux a tous, affiche toujours un uptime de plus de 6 mois (suite a un rempalcment de tableau electrique d'ailleur ...)

          a+
        • [^] # Re: Obligatoire...

          Posté par  (site web personnel) . Évalué à 0.

          Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.

          "qui ont installé une Ubuntu Breezy" (parce que venant d'une Hoary, aucun problème) et qui ne font pas régulièrement leurs mises à jour de sécurité. Le problème a été corrigé dans les 24h suivant sa découverte, pas de quoi fouetter un chat.

          Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.

          Dans ce cas, ils n'ont qu'à s'en retourner à leur mauvais ami geek qui leur a mis dans les mains un outil sans leur donner le mode d'emploi de base. Et ne me dit pas que Windows, c'est plus simple: il faut quand même faire régulièrement des mises à jour.
          Le principe est exactement le même sous Ubuntu, aucun système n'y échappe: L'update-manager se charge même, depuis Breezy, de t'afficher une bulle d'information quand des mises à jour sont disponibles, à la "Windows Update" (tu sais, le truc que les leet ont tellement décrié)
          • [^] # Re: Obligatoire...

            Posté par  . Évalué à 2.

            "qui ont installé une Ubuntu Breezy" (parce que venant d'une Hoary, aucun problème)


            j'ai dit 5.10, il me semble que c'est breezy, mais je peux me tromper...

            Dans ce cas, ils n'ont qu'à s'en retourner à leur mauvais ami geek qui leur a mis dans les mains un outil sans leur donner le mode d'emploi de base. Et ne me dit pas que Windows, c'est plus simple: il faut quand même faire régulièrement des mises à jour.


            Pourquoi ils le feraient s'ils ne sont pas au courant qu'il y a une faille? à cause de la bulle d'info? Si tu savais le nombre de postes windows que j'ai vu avec l'annonce windows update qui disait "des mises à jour sont disponibles" et que j'ai du expliquer qu'il fallait cliquer dessus et pas juste en avoir rien à battre. J'ai jamais dit que sous windows c'etait plus simple, et j'ai pas l'intention de le dire. Quoiqu'il me semble que maintenant les update sont automatiques par defaut ce qui est pas plus mal dans une optique "debutant". Ou mieux un comportement hybride, màj auto pour les updates de secu et juste une bulle d'info pour les autres.

            Enfin tout ca sans compter que c'est pas "juste" obtenir un shell root par un buffer overflow ou autre, mais qu'on a accès au mdp en clair! Et chez beaucoup de gens (les non-geek, voire les geek pas paranos) la compromission d'un tel mot de passe ouvre les portes à beaucoup plus que le simple accès de la machine mais également à tous les comptes mail, et autres sites à login/mdp, voire achat en ligne en 1-click sur amazon et autres... Donc meme apres la mise a jour de secu, il est prudent de changer les mdp d'acces a tout ca, et ca ta mise a jour elle le fait pas.

            Bref c'est pas de la gnognotte, et c'est tout ce que je voulais dire, à la base.
  • # Génial !!

    Posté par  . Évalué à 10.

    J'avais oublié mon mot de passe !! ...
    • [^] # Re: Génial !!

      Posté par  . Évalué à 0.

      lol
      Il y a quand même mieux comme technique pour récupérer l'accès à un compte!
      (linux en mode single et changement de mot de passe par exemple!)
    • [^] # Re: Génial !!

      Posté par  . Évalué à 4.

      yep... ça c'est du killing feature...
  • # En même temps...

    Posté par  . Évalué à 0.

    Ce ne sont que des logs et les logs ça s'efface très simplement, donc les machines déjà installées pouvaient être sécurisées en faisant un rm /var/log/installer/cdebconf/questions.dat

    'fin bon, maintenant je me demande comment déjà censés être aussi compétents que les développeurs d'ubuntu (qui sont aussi pour certains d'entre eux développeurs debian) ont pu passer à côté d'un gouffre pareil.
    • [^] # Re: En même temps...

      Posté par  (site web personnel) . Évalué à 3.

      j'ai du relire plusiuers fois avant de comprendre ...
      s/je me demande comment déjà censés /je me demande comment des gens censés/ ?
    • [^] # Re: En même temps...

      Posté par  . Évalué à 1.

      les machines déjà installées pouvaient être sécurisées en faisant un rm /var/log/installer/cdebconf/questions.dat

      Exact. Je ne vois pas trop ce qu'un utilisateur doit patcher. Il suffit d'effacer le fichier de log ou de changer le mot de passe utilisateur...

      M
      • [^] # Re: En même temps...

        Posté par  (site web personnel) . Évalué à 0.

        Et Mme Michou alors ?
        • [^] # Re: En même temps...

          Posté par  . Évalué à 2.

          Il suffisait aussi a ubuntu de mettre des permssions sur ces fichiers beaucoup plus strictes, ce qui aurait permit d'éviter cette faille aussi.

          Bref, on voit clairement que la priorité d'Ubuntu n'est pas la sécurité. On supprime des features parfois utiles mais on ne s'occupe pas de savoir si c'est sécurisé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.