Software::Distributionen::Canonical
Administratorpasswort auf Ubuntu Linux lesbar
Ein Fehler in der Installationsroutine von
Ubuntu Linux Breezy Badger
lässt nach der Installation Logdateien mit administratorprivilegierten Passwörtern zurück.
Ubuntu Linux ermöglicht nach einer Standard-Installation nicht den direkten Zugriff auf das Administratorkonto über das Einloggen als root
. Stattdessen stattet es den bei der Installation angelegten Benutzer mit vollständigen sudo
-Rechten aus und ermöglicht es ihm somit, beliebige Kommandos mit Administratorprivilegien unter Verwendung seines eigenen Passwortes auszuführen. Das Passwort dieses bevollmächtigten Benutzers fand sich nach einer Installation von Breezy Badger
in der Datei /var/log/debian-installer/cdebconf/questions.dat
wieder.
Da die Datei global lesbar war, konnte sich jede Person, die auf dem Zielsystem ein Benutzerkonto hatte (oder die Datei anderweitig zu lesen bekam), erhöhte Rechte aneignen.
Der Fehler betrifft nur den 5.10-Zweig der Ubuntu-Distribution, während ihr Vorgänger Hoary Hedgehog
und die zukünftig erscheinende Version Dapper Drake
unempfindlich gegenüber dem Leck sind. Dennoch sollten Anwender, die Dapper Drake
in Form eines aktualisierten Breezy Badger
installiert haben, darauf achten, ob nicht sensible Daten zurückgeblieben sind. Obgleich Ubuntu die Installationsroutine von Debian verwendet, sind Installationen von Debian nicht betroffen.
Ein aktualisiertes passwd
-Paket, welches das Problem beheben soll, ist bereits verfügbar und sollte schnellstmöglich eingespielt werden. Dies geschieht bei aktivierten Sicherheits-Updates automatisch bei einer Systemaktualisierung. Das aktualisierte Paket entfernt die Passwort-Werte aus den Logdateien und ändert ihre Rechte, sodass nur root sie lesen kann. Dies schließt allerdings nicht aus, dass das Passwort unterhalb der Dateisystem-Ebene weiterhin auf der Festplatte zu finden ist. Benutzer sollten daher die Datei mit einem Werkzeug wie shred
unlesbar machen. Die Änderung des Benutzerpasswortes empfiehlt sich ebenfalls, da es bereits gelesen worden sein könnte.