[Important] Bug de securite sur Breezy... explications

[Ju]

Hello !

Un bug de securité plutot flippant a été decouvert sur Breezy :

https://launchpad.net/distros/ubuntu/+bug/34606

Apres l'install un fichier accessible en lecture pour tous les
utilisateurs, reste sur le systeme avec, en clair, le mot de passe de
l'utilisateur principal (celui qui a les droits sudo)... 

 ;-/

Un correctif a ete publié, pensez donc a mettre a jour votre systeme * ,
via Synaptic :

'Recharger', 'Tout mettre a jour'.

Dans un teminal : sudo apt-get update && sudo apt-get upgrade

Le developpeur en charge de l'installeur explique l'origine du bug, qui
n'apparait que sous Breezy (donc pas sous Dapper):

http://www.ubuntuforums.org/showthread.php?p=818037#post818037


Traduction partielle...
<<
L'installeur d'Ubuntu (comme celui de Debian) utilise un outil appellé
Debconf qui gere toutes les intéractions avec l'utilisateur, ce
programme utilise une base de donnee pour enregistrer les réponses, en
particulier les mots de passe.
Evidemment, quand nous demandons un mot de passe avec Debconf, nous
faisons trés attention a nettoyer la base de donne : nous le supprimons
explicitement apres la phase de saisie du mot de passe, et nous le
stockons dnas une base a part qui n'est pas utilisée par debconf. Ca a
bien marché pendant un certain temps, ie jusqu'a Hoary.

Malheureusement, la facon dont nous avons arrangé les questions sur le
mot de passe dans le debconf de Breezy nous a obligé a utiliser deux
bases plutot qu'une... et le mot de passe se trouvait supprimé que sur
une des deux bases.

Et la raison pour laquelle nous ne nous sommes pas apercu de ce bug
quand il a ete corrige dans Dapper, et bien... la resolution dans Dapper
a ete due a une reorganisation massive de l'installeur, et en fait ca a
ete fixé 'par accident'.

Enfin, j'ai corrige ce bug dans le minimum de temps humainement possible
pour moi, et je l'ai pris extremement serieusement. Peut etre pour
certains d'entre vous vous c'est pas assez ou trop tard, nous ferons
tout ce que nous pourrons dans le futur pour installer de meilleures
defenses contre ce genre d'evenements.
>> Colin Watson

Bref ca a été corrigé. Et plutot rapidement, le contraire eut été
étonnant.


Vous n'etes pas touche par ce bug si :

 - Vous avez modifie le mot de passe du premier utilisateur depuis
l'installation
OU
 - Vous etes le seul utilisateur de la machine



Have Fun !


	Ju.



* Il faut que la ligne :
   deb http://security.ubuntu.com/ubuntu breezy-security main restricted

apparaisse dans le fichier /etc/apt/sources.list , si non ajoutez la :

http://doc.ubuntu-fr.org/applications/synaptic#comment_ajouter_ou_retirer_des_depots