Journal METTEZ A JOUR VOS ZUBUNTUS !

Posté par  .
Étiquettes :
0
13
mar.
2006
Mega trou de sécurité découvert sur ubuntu breezy et corrigé pour dapper.

On peut avoir le mot de passe root et/ou administrateur ( en fonction du monde d'installation ) sans aucune restriction dans les logs d'installation :
cat /var/log/installer/cdebconf/questions.dat

Le bug de sécurité a été publié ici :
http://www.ubuntuforums.org/showthread.php?t=143334

bug report ici :
https://launchpad.net/distros/ubuntu/+bug/34606

et annonce d'ubuntu ici :
http://www.ubuntu.com/usn/usn-262-1
  • # ubuntu vs macosx

    Posté par  . Évalué à 3.

    finalement une ubuntu cela se craque plus facilement que macosx :

    http://forum.macbidouille.com/index.php?showtopic=163061&(...)

    30 s <-> 30 min

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: ubuntu vs macosx

      Posté par  . Évalué à 3.

      ouais, enfin bon.

      dans les 2 cas, ca reste une escalade de privilege, pas un exploit distante.
      T'avoueras que donner un shell a qui le demande via apache, c'est quand meme chercher le trouble (et donc le trouver).

      Donc ca reste relativement confiné comme probleme (mouhahaha).

      Par contre c'est vrai qu'ils ont fait fort sur le coup chez booboontoo
      • [^] # Re: ubuntu vs macosx

        Posté par  . Évalué à 2.

        La seule chose c'est que pour MacOSX c'est une faille locale, les participants avaient un accès ssh utilisateur sur la machine.
  • # correction :

    Posté par  . Évalué à 4.

    sudo chmod go-r /var/log/installer/cdebconf/questions.dat
    cat /var/log/installer/cdebconf/questions.dat
    • [^] # Re: correction :

      Posté par  . Évalué à 1.

      Ou il suffit juste de mettre à jour :)
      • [^] # Re: correction :

        Posté par  . Évalué à 1.

        Bizarre, chez moi :

        cat /var/log/installer/cdebconf/questions.dat
        cat: /var/log/installer/cdebconf/questions.dat: Permission non accordée

        et sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot" ne donne rien....

        Ou est la faille si d'une part, je dois déjà donner mon pass root (avec sudo) pour voir ce fichier, et d'autre part, si ce fichier ne contient pas mon pass root ?????!!!
        • [^] # Re: correction :

          Posté par  . Évalué à 2.

          tu dois etre sous dapper et à jour.
          à l'origine justement ce fichier etait accessible à n'importe quel utilisateur sans restriction ( testé sur l'ordi de mon coloc ).
        • [^] # Re: correction :

          Posté par  (Mastodon) . Évalué à 2.

          Est-ce que par hasard, tu auras une version d'Ubtuntu qui n'est pas Breezy, ou bien une Breezy avec toutes les mises à jour de sécurité ? Parce que bon, c'est corrigé, et si tu es à jour c'est normal de ne pas avoir le problème.
          • [^] # Re: correction :

            Posté par  . Évalué à 1.

            Je m'en serais aperçu si j'avais une Dapper !!!!
            Breezy installée depuis 1 mois, MAJ installées régulièrement, c'est vrai !
            • [^] # Re: correction :

              Posté par  (Mastodon) . Évalué à 2.

              Tu aurais pu aussi avoir une Warty ou une Hoary, qui n'ont pas l'air touchées, d'après ce que j'ai lu.
        • [^] # Re: correction :

          Posté par  . Évalué à 7.

          et sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot" ne donne rien....

          grep "tonmotdepasseroot" ~/.bash_history

          Et là ça marche ? ;)
  • # Si vous avez des installations automatisées

    Posté par  (site web personnel) . Évalué à 2.

    UNIQUEMENT si vos installs sont automatiques donc pas besoin de ce fichier pour les mises à jour !

    find /var -name "questions.dat" -exec rm {} \;

    car il y a plusieurs questions.dat :

    /var/log/installer/cdebconf/questions.dat
    /var/log/debian-installer/cdebconf/questions.dat
  • # Si vous voulez des infos en francais

    Posté par  . Évalué à 1.

    J'ai poste une petite explication/traduction sur la mailing liste :

    http://permalink.gmane.org/gmane.linux.ubuntu.user.french/84(...)
    • [^] # Re: Si vous voulez des infos en francais

      Posté par  . Évalué à 4.


      Vous n'etes pas touche par ce bug si :

      - Vous avez modifie le mot de passe du premier utilisateur depuis
      l'installation
      OU
      - Vous etes le seul utilisateur de la machine

      Ben moi j'ai changé mon mot de passe sur mon serveur breezy et je suis le seul utilisateur sur mon laptop... Mais je vais quand meme mettre à jour, c'est plus prudent...

      C'est le genre de faille qui discrédite toute une distribution en moins de temps qu'il ne faut pour le dire... Ca fait presque 6 mois que c'est comme ca, et en plus c'était super simple. Je pense que beaucoup de systèmes doivent être considérés comme compromis.

      Bonne réinstallation ;-)
      • [^] # Re: Si vous voulez des infos en francais

        Posté par  . Évalué à -4.

        Mais je vais quand meme mettre à jour, c'est plus prudent...

        toi t'es le genre a porter des bretelles en plus de la ceinture pour etre sur que ton pantalon il tombe pas?
  • # Plus serieusement

    Posté par  . Évalué à 4.

    La on a une faille locale béante (locale, certes, mais beante quand meme...).

    Ca pose quand meme une enooooorme interrogation...
    Enfin deux meme :
    1) Comment un bug aussi gros a pu rentrer dans breezy?
    2) Comment se fait il que personne ne l'ai remarque plus tot? L'argument de pleins d'yeux qui auditent le code serait il en fait du flan?
    • [^] # Re: Plus serieusement

      Posté par  (site web personnel) . Évalué à 4.

      2) Comment se fait il que personne ne l'ai remarque plus tot? L'argument de pleins d'yeux qui auditent le code serait il en fait du flan?

      Je sais pas d'ou tu sort cet argument, le vrai c'est plein d'yeux qui peuvent auditer le code, ce qui ne veux aucunement dire qu'ils le font...
      • [^] # Re: Plus serieusement

        Posté par  . Évalué à 1.

        Bopf, c'est pas trop ce qu'on entend repeter un peu partout chez les libristes.
        • [^] # Re: Plus serieusement

          Posté par  (site web personnel) . Évalué à 4.

          Mauvais libriste, changer libriste (tm).

          En attendant c'est ce que moi j'entends et dis.

          Enfin il ne faut pas oublier le Do It Yourself [Or Shut Up] qui reste quand même une des premieres règles chez les libristes.
    • [^] # Re: Plus serieusement

      Posté par  . Évalué à 1.

      J'espère que ça motivera les développeurs à faire beaucoup plus attention pour la dapper et les versions suivantes.
    • [^] # Re: Plus serieusement

      Posté par  (site web personnel) . Évalué à 7.

      Et aussi, comment se fait-il que c'était déja corrigé dans la version de dev mais celui qui a corrigé ne l'avait pas signalé ?
      • [^] # Re: Plus serieusement

        Posté par  (site web personnel) . Évalué à 5.

        c'est expliqué dans le bug report, ca a été corrigé "par accident" (effet de bord serait plus juste) en changeant d'autres trucs.
        • [^] # Re: Plus serieusement

          Posté par  . Évalué à 6.

          c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?

          Peut-être qu'un jour ils auront des paquets un peu plus compatible avec Debian...
          ce qui serait la moindre des choses.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: Plus serieusement

            Posté par  (site web personnel) . Évalué à 1.

            c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?

            j'en sais rien, je ne suis pas ce genre de choses... j'ai juste lu un lien posté quelques commentaires plus haut.
          • [^] # Re: Plus serieusement

            Posté par  . Évalué à 1.

            c'est sur qu'utiliser debconf depuis la premiere release, c'est vraiment reinventer la roue..

            qu'est ce qu'on peut lire comme conneries des fois.

            ce qui serait la moindre des choses.
            ben d'un autre cote, vu le retard que prend (et continue a accumuler) debian, c'est pas franchement de leur faute non plus.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.