Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 13. März 2006, 11:41

Software::Distributionen::Canonical

Administratorpasswort auf Ubuntu Linux lesbar

Ein Fehler in der Installationsroutine von Ubuntu Linux Breezy Badger lässt nach der Installation Logdateien mit administratorprivilegierten Passwörtern zurück.

Ubuntu Linux ermöglicht nach einer Standard-Installation nicht den direkten Zugriff auf das Administratorkonto über das Einloggen als root. Stattdessen stattet es den bei der Installation angelegten Benutzer mit vollständigen sudo-Rechten aus und ermöglicht es ihm somit, beliebige Kommandos mit Administratorprivilegien unter Verwendung seines eigenen Passwortes auszuführen. Das Passwort dieses bevollmächtigten Benutzers fand sich nach einer Installation von Breezy Badger in der Datei /var/log/debian-installer/cdebconf/questions.dat wieder.

Da die Datei global lesbar war, konnte sich jede Person, die auf dem Zielsystem ein Benutzerkonto hatte (oder die Datei anderweitig zu lesen bekam), erhöhte Rechte aneignen.

Der Fehler betrifft nur den 5.10-Zweig der Ubuntu-Distribution, während ihr Vorgänger Hoary Hedgehog und die zukünftig erscheinende Version Dapper Drake unempfindlich gegenüber dem Leck sind. Dennoch sollten Anwender, die Dapper Drake in Form eines aktualisierten Breezy Badger installiert haben, darauf achten, ob nicht sensible Daten zurückgeblieben sind. Obgleich Ubuntu die Installationsroutine von Debian verwendet, sind Installationen von Debian nicht betroffen.

Ein aktualisiertes passwd-Paket, welches das Problem beheben soll, ist bereits verfügbar und sollte schnellstmöglich eingespielt werden. Dies geschieht bei aktivierten Sicherheits-Updates automatisch bei einer Systemaktualisierung. Das aktualisierte Paket entfernt die Passwort-Werte aus den Logdateien und ändert ihre Rechte, sodass nur root sie lesen kann. Dies schließt allerdings nicht aus, dass das Passwort unterhalb der Dateisystem-Ebene weiterhin auf der Festplatte zu finden ist. Benutzer sollten daher die Datei mit einem Werkzeug wie shred unlesbar machen. Die Änderung des Benutzerpasswortes empfiehlt sich ebenfalls, da es bereits gelesen worden sein könnte.

Werbung
Kommentare (Insgesamt: 93 || Alle anzeigen || Kommentieren )
Re[5]: Freie Fahrt auf freien PCs (¿¿¿, Mi, 15. März 2006)
Re[2]: Darf nicht passieren (..., Mi, 15. März 2006)
Re[4]: Darf nicht passieren (..., Mi, 15. März 2006)
kein root? (energyman, Mi, 15. März 2006)
Re: Selbstzerfleischung (Matyy, Di, 14. März 2006)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung