» »

Kritična napaka v Ubuntu 5.10 Breezy

Slashdot - Glede na tole poročilo se v operacijskem sistemu Ubuntu 5.10 (Breezy) nahaja zelo kritična varnostna napaka, saj se lahko navaden uporabnik s preprostim grep -r rootpassword /var ukazom dokoplje do administratorskega gesla za računalnik, ki ga namestitev "pozabi" v tekstovni datoteki, ki je berljiva vsem uporabnikom sistema (world readable).

Verjetno ni potrebno posebej poudarjati, da je root dostop v Linuxu pomeni popolen dostop do CELOTNEGA sistema, zato vsi uporabniki hitro namestite posodbitev, ki napako odpravi. Zahvaljujoč izjemno hitremu odzivu skrbnikov za varnost Ubuntuja je bil namreč popravek na voljo v nekaj urah, poleg namestitve popravka pa seveda priporočam tudi takojšnjo spremembo skrbniškega gesla. Še povezava na prvo objavo napake.

117 komentarjev

strani: « 1 2 3

Bakunin ::

in potem se sprasujejo zakaj vecina streznikov raje uporablja preverjen/stable Debian(R) ...
MTU test > http://www.letmecheck.it/mtu-test.php

"I will not rule, and also ruled I will not be! " | irc://irc.sioff.net/slo-tech

Matthai ::

No, saj moraš biti nor, če imaš Ubuntu za server. Ubuntu je za desktop. Ampak tole je pa tako huda napaka, da si je nikakor ne bi smeli privoščiti. It's so lame... na srečo je bil vsaj popravek hitro na voljo.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

r5r ::

Končno en velik bug za Linux. :)

P.S. No, no, tole sporočilo pišem iz Debiana. :D
And it makes me wonder.

wishmaster ::

Matthai, se popolnoma strinjam s tabo. To je totalna bedarija, da imaš neko levo distribucijo za server. Jaz kolikor imam izkušenj največ serverjev laufa na Red hatu, solarisu in debianu. Sam ta fora je pa stara glede gesla. V windowsih tud mimogrede prideš do administratorskega gesla oz. še do drugih.

Matthai ::

Definitivno, ampak to ni opravičilo za Ubuntujevo nemarnost. To pišem kot zagovornik in popornik Debiana in Ubuntuja. 8-)
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

pirat ::

ja, to je bistveno za komentiranje fellerja v Ubuntu - da do gesla lahko prideš tudi v Windows.....

torej, kateri ukaz naj vtipkam v command prompt, da mi bo izpisal administratorsko geslo, medtem ko sem prijavljen kot user?

wishmaster ::

V windowsih moraš sam računalnik zagnat iz enega cdja, na njem pa en programček. Še rabiš manj znanja.

P.s: Zdaj bom pa raje nehal z windowsi. Da ne bo kot večina podobnih tem (samo prerekanje kaj je boljše).

r5r ::

Če imaš dostop do računalnika kot kište, je mogoče vse.

Linux disk, če (verjetno) ni zaščiten, lahko priklopiš v drug Linux sistem in popraviš datoteko z gesli. :D
And it makes me wonder.

antonija ::

A so ziher gesla napisana kot plain text v linuxu?

EDIT: Pa leave windows out of this, to je anti-linux novica, ne anti-M$ novica>:D Za winse je dost anti-M$ novic.:D
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Zgodovina sprememb…

  • spremenilo: antonija ()

zee ::

topic=off

@wishmaster: to gesla ni tako trivialno priti...predvsem razbijanje gesla zna trajati kar precej časa

topic=on
zee
Linux: Be Root, Windows: Re Boot
erwin3: Dual Xeon X5650, 32 GB RAM, 14 TB HDD

r5r ::

Napisal sem "popraviš datoteko z gesli" in ne "prebereš datoteko z gesli", torej zgoščeno geslo samo prepišeš.

^^ Kot pojasnilo za tiste nepismene in vse ostale. :D
And it makes me wonder.

Daedalus ::

A so ziher gesla napisana kot plain text v linuxu?

Niso. Tale lukna je posledica napake v installerju, ki za sabo pusti log datoteko namestitve sistema, kamor očitno zapiše tudi geslo userja (s katerim se da v Ubuntuju z ukazom sudo su + geslo priti v root način). Ta log datoteka pa je plaintext. Drugače pa je to zelo huda malomarnost s strani programerjev, geslo se v nobenem primeru ne bi smelo znajti v tekstovni datoteki. Se pa geslo po spremembi (logično) ne pojavi več v problematični datoteki (/var/log/installer/cdebconf/questions.dat), popravek pa spremeni dostopne pravice do datoteke, ki jo lahko po namestitvi popravka lahko odpre samo še root. Tak lahko tudi na hitro preveriš, če popravek deluje, še boljš pa je datoteko preprosto pobrisat, itak ne koristi ničemer.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

fiore ::

kaksen pomen pa sploh ima root geslo v ubuntuju? itak lahko vse naredis z sudo (ukaz) (tvoje geslo). tudi sudo su, potem pa si root password nastavis.
ne zdi se mi to glih kriticna napaka, je pa sigurno kriticna povrsnost.
Kubuntu 10.04 (desktop), Ubuntu 10.10 64-bit (laptop), UNE 9.04 (eeePC),
Kubuntu 10.04 64-bit (workstation), Android 2.2 (phone)

MrStein ::

fiore, saj sploh ne gre za root geslo. Gre za geslo uporabnika. V novici so besede malo čudno izbrane. Kot ponavadi ;)
Teštiram če delaž - umlaut dela: ä ?

JerKoJ ::

fiore tvoje znanje je malenkost pomankljivo za uporabo sudo rabis root geslo

To je zelo kriticna luknja v sistemu, se dobro da se vecimona vsaj upam uporablja le na desktop sistemih

pecorin ::

za sudo ne rabis root gesla.
v tisti datoteki pa izves geslo uporabnika, ki lahko uporablja sudo(pri normal instalaciji). to je torej enako kot ce bi dobil root geslo..
ce je pa expert instalacija pa dobis root geslo iz te datoteke.

saj vse pise na povezavi..

MrStein ::

JerKoJ

fiore tvoje znanje je malenkost pomankljivo za uporabo sudo rabis root geslo

Ne, ne rabiš. root gesla namreč sploh ni ;)
Teštiram če delaž - umlaut dela: ä ?

farmer ::

ssh root login mas disejblan, drugih shell accountov (razn svojga) pa pac nimas (na desktop masini) in ti takele napakce ne kradejo spanja... na serverjih pa BSD elitisti itak uporabljamo...
bleh

SXR ::

V windowsih moraš sam računalnik zagnat iz enega cdja, na njem pa en programček. Še rabiš manj znanja.

ERD commander?
NTFS permissions?
File level encryption?

Manj znanja rabiš samo če računalnik zapakiraš in ga neseš nazaj v trgovino. Drugače je pa vseeno malo drgač če imaš disk pri sebi al pa na mreži...
You can talk rationaly about kernel design, the issue of free-ness is emotional.

Grudge ::

To je totalna bedarija, da imaš neko levo distribucijo za server.


Ne rečem, če se gre za server Pentagona, sicer je pa to kr neki. Bla bla.
Še vedno je več odvisno od tega, katere različice serverskih aplikacij laufaš, ne pa od same distribucije.
Take napake se lahko pojavijo vsake toliko časa, vendar so izjemno redke v končnih, final, verzijah distribucij (vsaj tistih, bolj znanih, uporabljanih).

Zgodovina sprememb…

  • spremenilo: Grudge ()

Azrael ::

Hmm ali ne velja, če lahko vdreš v sistem tako, da imaš fizičen dostop do njega, to ni vdor, vsaj v eni Lin-Win kregariji je bilo tako rečeno ? Tako, da uporaba tistih disket in CDjev za vstop v Win Xp ni vdor.

Tako razumem tudi ta "popravek", ki samo spremeni pravice dostopa, namesto, da bi tisti log lepo pobrisal in po možnosti še prepisal.

Ampak zanima me še nekaj drugega; Kako to, da te napake Linux stručkoti niso videli, saj imajo source na razpolago ? Če je vse tako easy, kot trdijo nekateri v malo starejši novici ?
Nekoč je bil Slo-tech.

fiction ::

Glede na to, da naj nepooblascene osebe ne bi imele fizicnega dostopa
do streznika, je verjetno vdor lahko samo v fizicnem smislu vlom v sobo z
racunalniki.
Ce ima namrec nekdo fizicni dostop lahko s streznikom pocne
skorajda vse - brez da bi to steli za bug operacijskega sistema.

Pomaga edino encrypted filesystem - pa se to samo pred
dostopom do podatkov, ne pa tudi pred njihovo poskodbo.
Edino mogoce backup na drugi lokaciji bi lahko resil tak
problem.

Napaka ni v Linux kernelu (kot ponavadi :p), ampak samo v instalerju
ene tocno dolocene distribucije Linuxa (Ubuntu), ki
je itak namenjena domacim uporabnikom in nikakor ni
za (resne) streznike.
Ne vem kaj ima tukaj veze source, napaka je bila itak odkrita
brez da bi sel nekdo brati kako tocno tista zadeva deluje, ampak
je pac ta tip enostavno odkril svoj password v nekem fajlu.

In ja, valda da so drugac passwordi shranjeni v
datoteki, ki ni berljiva vsem (/etc/shadow) in se tam
je samo izvlecek (hash) gesla.
Pa tud sudo se da razlicno skonfigurirat (od tega da dovoli
dolocenemu uporabniku izvajat ukaze kot root brez passworda,
ce prej vtipka svoj password ali pa password od roota).

Neumen bug, ki nas spomni na to, da nikoli ne smemo
logirati gesel (ne glede na to kam).
BTW: Kaj je bil sploh namen tiste datoteke po instalaciji?

Zgodovina sprememb…

  • spremenil: fiction ()

Microsoft ::

Tako kot Azraela, me zanima, kako to, da tega nihce ze prej ni videl (mogoce tudi je)? Je ja source koda tako lepo obarvana zeleno, tu in tam pa se pobarva kaka rdeca vrstica, ki kaze na bug? Ali pa le ni tako lahko odkrit napake v miljon vrsticah kode?:\

Glede tistega, kako dobiti geslo iz Windows masine. Rabis SAM (Security Accounts Manager) fajl, kjer je menda hash od vseh gesel. Potem pa to das skozi kak JtR in voila. Pri tem je verjento najvecji problemcek dobiti tist file, ker ga Winsi neki zaklenejo, samo tudi mimo tega se da.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

fiction ::

Pomoje noben tega ni odkril prej, ker se noben ni poglobil v iskanje
napak pri instalerju (oz. sploh nihce ni pricakoval tako
neumne napake).
Za to, da je bila napaka odkrita je zasluzno naklucje
in ne temeljito testiranje.

Napake je praviloma se zmeraj lazje najti, ce imas
dostop do izvorne kode, kot pa brez tega.
Seveda pa ni tako, da bi napako videl ze od dalec - recimo pobarvano
na rdece, ampak se je treba poglobiti v delovanje nekega delcka
programa.
V ta namen ni treba pregledati vseh miljon vrstic, ampak mogoce
samo par sto do par tisoc.

Bistri007 ::

Ah, vsak ima dostop do source kode, in nekdo si je očitno naredil backdoor.
To ni bug, to je bil feature :))
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

drola ::

Jaz Ubuntuja tako ali tako ne uporabljam, ker me je precej motilo, da so *-dev paketki ločeni od glavnih paketkov, zato imam raje Slackware, kjer so v paketkih običajno vse stvari, ki so v sami izvorni kodi nekega programa.

In še glede buga: ali ni bil včasih standard, da kadar se že dela loge, se gesla shranjuje kot ***** ?
http://www.drola.si

Kami ::

Saj stvar v bistvu ni preveč nevarna razen če maš Ubuntu za strežnik...
http://www.ubuntu.si || http://www.freebsd.si

CCfly ::

Zakaj bi pri namestitvi sploh shranjeval geslo v log ?
"My goodness, we forgot generics!" -- Danny Kalev

Bistri007 ::

"Zakaj bi pri namestitvi sploh shranjeval geslo v log ?"
Backdoor?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Beernarrd ::

No, tisti, ki je spustil čez takšnega hrošča, je tudi razložil, kakšen je razlog za hrošča.
V hoarju so imeli eno datoteko, kamor so se vpisala ob instalaciji gesla. Ta gesla so potem tudi pobrisali. Za breezija pa so iz nekih drugih razlogov moral narediti dve datoteki in v eno so potem spregledali pri brisanju gesel.

Daedalus ::

Bistri007 - tole ni backdoor, je lepo obrazloženo, kaj je do tega privedlo, pa pojavla se samo v 5.10 različici. Je pa to hud primer malomarnosti, ki se ne bi smela zgoditi...pa se na žalost je. Bojo mogli biti malo bolj previdni prihodnjič.

p.s. je pa tud MS v preteklosti mel takele težave...a tist je bil tud backdoor?

Shit happens, kaj čmo...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

fiore ::

fiore tvoje znanje je malenkost pomankljivo za uporabo sudo rabis root geslo

JerKoJ: hm, ocitno ti ne poznas niti sudo, niti ubuntuja :))
Kubuntu 10.04 (desktop), Ubuntu 10.10 64-bit (laptop), UNE 9.04 (eeePC),
Kubuntu 10.04 64-bit (workstation), Android 2.2 (phone)

denial ::

Offtopic:

Če imaš fizičen dostop do mašine, pa najsi bo to Windows ali Linux, (največkrat) ni večjih ovir pridobiti Admin/root account. V Linuxu celo lažje kot v Winsih:

boot: linux single

Nothing new. Public knowledge...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

PARTyZAN ::

Ali je ta bug prisoten tudi v 6.04 Flight 5?
i7 6700K | GTX970 | Z170 PG | 16 GB DDR4-2666
Leadex Gold 650W | Xonar Phoebus | Samsung 830 256GB

Trubadur ::

probaj ;)
Berite Thomasa!

Looooooka ::

slackware rules =)
pa glih prejsn tedn je nekdo predlagu da dam ubuntu na streznik....sm reku "hmmm ubuntu...to se se bl neumno slis kot red hat...in se bl kot debian...i think not".
Ampak glede na to da je to bl za desktop misljen...in da je to nek fin setup za windows n00be in tajnice...in se jih tko da spravt na linux pomojem ni vecje panike.
ceprou je pa kr dost neumno da grejo v plaintext passworde pisat.
kar se pa windowsev tice....hmmm mors rebootat masino da prides do fajla...oz met administratorske pravice....ce ti rata z navadnim usernamom pridt do njega je pa nekdo zlo slabo poskrbel za dostop tko da mislm da ni glih primerljiv z "geslo bomo zarad setupa napisal v text file"....v direktorij ki ma kok.... 766 pravice po defaultu?

virusss8 ::

@PARTyZAN: Po odzivih nekaterih testerjev 6.04 je tam ta "bug" malenkost manj kritičen. Datoteka od namestitve vseeno ostane, vendar v njej najdeš samo uporabniško ime, gesla pa ni (vsaj v teksotvni obliki ne).
Tux is my best pal!

JerKoJ ::

@fiore: priznam da sem se zmotu

pravilno bi mogu rect:

Gre za kriticno luknjo ker omogoca poljubnemu userju,
da se dokoplje do gesla userja z sudoer privilegijem, torej s privilegijem, da pozene sudo,
kar v ubuntuju pomeni moznost pogajanja ukazov z root privilegijem.

klemen22 ::

Hja keri bug. Hm malo se je za zamisliti. Hudo hudo.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

M.B. ::

Eh to ni še nič McAffe antivirus se je odloči in random brisal *.dll in *.EXE datoteke. Je bug ali je feature?

Dokler ne pobriše IE-ja in WMPja je bug :D
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

dela ::

Pri oknih takega gesla za poseganje v sistem sploh ne rabiš. Ubuntu s to napako je torej lahko v najslabšem primeru tako nevaren kot Windows.

Jaz se vsaj ne spomnim, da bi me okna vprašala po kakšnem geslu, ko sem kaj inštaliral.

Microsoft ::

Jaz se vsaj ne spomnim, da bi me okna vprašala po kakšnem geslu, ko sem kaj inštaliral.

Si s tem hotel kaj povedati al kaj? Mogoce to, da ne rabis pravic za instalacijo program? Ker razlaganje takileh for je prov smesno.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

dela ::

Mislim, da je bilo jasno napisano.

Pravice je že fajn met, če pa te po njih ne vprašajo prav veliko krat, pa so rahlo brezvezne.

Recimo, da z vsemi pravicami browsaš po Win mašini, pa te preseneti nekdo od zadaj s kloroformom. Ko se zbudiš, lahko zagledaš kakšne nezaželjene sistemske spremembe.

Če se ti ista zadeva zgodi na Ubuntu (ki ti po defaultu ne da vseh pravic brez ponovnega preverjanja v trenutku uporabe) brez tega buga, je sistem rešen.

Pri Ubuntu s tem bugom pa je rezultat enak kot pri Windowsih, ker lahko zlodej ugotovi geslo.

In ne, Windowsi me niso po logiranju nikoli nič vprašali po identiteti. Kot en sam zamaščen brezbrižen varnostnik, ki straži le vrata ogromnega pomembnega kompleksa.

Sicer nisem nek poznavalec, mislim pa, da se večina napadov zgodi po logiranju.

Zgodovina sprememb…

  • spremenil: dela ()

dela ::

Nevedno poganjanje sistema kot superuser sem pač uporabil kot pogost pojav v kategoriji "OS za ljudi, ki ne vedo, kaj delajo" v katero spadata Ubuntu in Windows, pri čemer je prvi za laika varnejši, ker tega direktno ne omogoča, ta dodatna varnost se je z bugom izničila, ker je geslo pač vsem na voljo. To sem nekako hotel povedati.

Matthai ::

Ta bug in še številne druge so odkrili PRAV ZATO, ker je source na razpolago. Koliko bugov pa imajo Windowsi, pa zanje nikoli ne bomo izvedeli...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

SXR ::

Koliko bugov pa imajo Windowsi, pa zanje nikoli ne bomo izvedeli...

:D ...ahem, hehe, a lahko temu sploh rečeš bug če ne bomo zanj izvedeli.
You can talk rationaly about kernel design, the issue of free-ness is emotional.

zee ::

it's not a bug, it's a feature :D
zee
Linux: Be Root, Windows: Re Boot
erwin3: Dual Xeon X5650, 32 GB RAM, 14 TB HDD

Matthai ::

Ponavadi zanje izvejo kakšni hekerji in potem to izkoriščajo. Včasih traja dolgo časa preden izvemo še ostali.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Smeagol ::

V linuxu pa ni hackerjev?

Pa to da imajo kodo pred sabo jim nic ne pomaga?
strani: « 1 2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ubuntu izdal okvarjen popravek

Oddelek: Novice / Varnost
473097 (1634) Matevžk
»

Odkrita resna varnostna pomankljivost v GPG

Oddelek: Novice / Varnost
242564 (1820) jype
»

Kritična napaka v Ubuntu 5.10 Breezy (strani: 1 2 3 )

Oddelek: Novice / Varnost
1177602 (4892) 64202
»

Ubuntu - težava z mrežo in rootom

Oddelek: Operacijski sistemi
8662 (529) lukaz
»

Ubuntu 5.04 (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
555089 (3424) Tarzan

Več podobnih tem