Root-Passwort unter Ubuntu 5.10 im Klartext auslesbar

[petersilie]

Die Linux-Distribution Ubuntu 5.10 (Breezy Badger) wird sie als Mehrbenutzersystem eingerichtet, so können andere Anwender unter Umständen sehr leicht an Root-Rechte gelangen. Nach Angaben des Herstellers enthalten die Log-Dateien der Installation /var/log/installer/cdebconf/questions.dat und /var/log/debian-installer/cdebconf/questions.dat das bei der Einrichtung des ersten Anwenders festgelegte Password im Klartext....

Mehr infos dazu bekommt ihr auf heise.de

http://www.heise.de/newsticker/meldung/70754

mfg

 

[michio]

krass...ne ziemlich krasse Sicherheitslücke -.- würde glaub nicht mal Microsoft schaffen

 

[naked_chef]

krass...ne ziemlich krasse Sicherheitslücke -.- würde glaub nicht mal Microsoft schaffen

aber mit dem unterschied ich muss nicht auf ein patch warten.

es ist zwar ärgerlich, aber mit ein paar handgriffen ist das problem ganz schnell behoben...

wichtig ist jetzt, nachdem der bug bekannt wurde, dass alle user gleich die entsprechenden datein, vor unbefugten zugriff sperren.

 

[michio]

Original von naked_chef

krass...ne ziemlich krasse Sicherheitslücke -.- würde glaub nicht mal Microsoft schaffen

aber mit dem unterschied ich muss nicht auf ein patch warten.

Genau, da hat Linux dann die Nase ganz klar wieder vorn

 

[ivegotmail]

für alle die noch nicht selbst hand angelegt haben, ist auch bereits ein patch über die automatischen updates verfügbar.

 

[ElLute]

ich weiss ja nicht, aber die dateien sind bei mir nicht world-readable, das passwort steht nicht drinnen und auch sonst nirgends in /var.

ich habs aber ursprünglich nur als einzelbenutzersystem installiert und mittlerweile einiges umgemodelt...

edit: ok, es kann sein, das das update von grad vorhin das leck geschlossen hat