Espace d'Asher256

Faille dans Ubuntu Breezy : Mot de passe stocké en clair !





En fait, le fichier questions.dat contient toutes les questions et réponses qui ont eu lieu lors de l’installation d’Ubuntu Breezy. Les trois lignes qui contiennent le mot de passe ressemblent à cela :

Name: passwd/user-password-again
Template: passwd/user-password-again
Value: LE_MOT_DE_PASSE_EN_CLAIR

Le pire dans l’histoire, c’est que le fichier questions.dat peut être lu par n’importe quel utilisateur (droits 644) !

Solution :

Supprimez les fichiers qui peuvent potentiellement contenir le mot de passe choisi lors de l’installation :

  • /var/log/installer/cdebconf/questions.dat
  • /var/log/debian-installer/cdebconf/questions.dat

N’hésitez pas à changer le mot de passe de votre utilisateur principal (celui qui appartient au groupe admin).

PS: Il paraît que la distribution Ubuntu Dapper n’est pas concernée par ce souci.

EDIT: La faille a été très rapidement résolue (en quelques heures!). Il vous suffit de mettre à jour les paquets base-config et passwd 😉

EDIT: Un topic dans le forum d’Ubuntu-fr (pour les intéressés).

EDIT: On en parle dans Nuxo, Linuxfr, Secunia et Infos-du-net.





Déjà 9 commentaires dans “Faille dans Ubuntu Breezy : Mot de passe stocké en clair !”
  1. szdavid

    Bizarre, je l’ai pas, cette ligne, moi…

  2. devloop

    Pour faire court : ^^
    C’est vrai qu’une faille de ce ‘niveau’ ça ne se voit pas tous les jours :-/

  3. The Other

    T’oublies le paquet "login". J’ai été ravi de voir la réactivité de communauté Ubuntu une fois de plus ^^.

  4. Lost in the shell

    Une faille (oh !). Corrigée (ah !).

    Une faile permettant l’accès au password root d’une Ubuntu Breezy 5.10 a été découverte hier. La commande qui permettait de faire ça est grep -r rootpassword /var (pour ceux qui ont du mal à comprendre, ça cherche dans tous les repertoires,

  5. Asher256

    Je suis étonné (et un peu déçu) de voir que cette faille de sécurité n’a pas été décelée dans Ubuntu Breezy, même après ~5 mois d’existence 🙁

    En revanche, ce qui m’a fait le plus plaisir, c’est la réactivité de la communauté d’Ubuntu. La faille a été résolue très rapidement (~5 heures). Même ceux qui ne lisent pas les news vont pouvoir éliminer la faille (…s’ils ont l’habitude de faire des mises à jour 🙂 ) !

    @The Other: J’ai moi aussi remarqué que le paquet "login" est inclus dans la mise à jour d’aujourd’hui. Je ne l’ai pas mis dans le billet car d’après http://www.ubuntu.com/usn/usn-26... , Il n’y a que base-config et passwd qui sont affectés (login n’est peut-être pas aussi important que ces deux derniers?).

  6. Deuterium360

    Apparemment, il n’y a pas le bug si vous avez fait une màj breezy sur une install hoary.

  7. Thesa

    Je n’ai pas non plus la ligne incriminée… Mais la mise à jour est faite !

  8. MrTom

    Désolé pour ton commentaire Asher256, mais spamplemousse s’est trompé sur ton casier judiciaire, il t’a pris pour un truant! Voilà qui est corrigé, j’ai mis ton commentaire en ligne. Encore une fois désolé!

  9. Asher256

    Pas de souci 😉 Merci.

    PS : C’est assez bizarre le comportement de spamplemousse. Même le miens me bloque de temps en temps. Si quelqu’un sait pour quelle raison, je serais très intéressé (un bug peut-être ?).