[Important] Bug de securite sur Breezy... explications

Jean-Philippe jean-philippe.moal at laposte.net
Lun 13 Mar 06:57:35 GMT 2006


Ju a écrit :

>Hello !
>
>Un bug de securité plutot flippant a été decouvert sur Breezy :
>
>https://launchpad.net/distros/ubuntu/+bug/34606
>
>Apres l'install un fichier accessible en lecture pour tous les
>utilisateurs, reste sur le systeme avec, en clair, le mot de passe de
>l'utilisateur principal (celui qui a les droits sudo)... 
>
> ;-/
>
>Un correctif a ete publié, pensez donc a mettre a jour votre systeme * ,
>via Synaptic :
>
>'Recharger', 'Tout mettre a jour'.
>
>Dans un teminal : sudo apt-get update && sudo apt-get upgrade
>
>Le developpeur en charge de l'installeur explique l'origine du bug, qui
>n'apparait que sous Breezy (donc pas sous Dapper):
>
>http://www.ubuntuforums.org/showthread.php?p=818037#post818037
>
>
>Traduction partielle...
><<
>L'installeur d'Ubuntu (comme celui de Debian) utilise un outil appellé
>Debconf qui gere toutes les intéractions avec l'utilisateur, ce
>programme utilise une base de donnee pour enregistrer les réponses, en
>particulier les mots de passe.
>Evidemment, quand nous demandons un mot de passe avec Debconf, nous
>faisons trés attention a nettoyer la base de donne : nous le supprimons
>explicitement apres la phase de saisie du mot de passe, et nous le
>stockons dnas une base a part qui n'est pas utilisée par debconf. Ca a
>bien marché pendant un certain temps, ie jusqu'a Hoary.
>
>Malheureusement, la facon dont nous avons arrangé les questions sur le
>mot de passe dans le debconf de Breezy nous a obligé a utiliser deux
>bases plutot qu'une... et le mot de passe se trouvait supprimé que sur
>une des deux bases.
>
>Et la raison pour laquelle nous ne nous sommes pas apercu de ce bug
>quand il a ete corrige dans Dapper, et bien... la resolution dans Dapper
>a ete due a une reorganisation massive de l'installeur, et en fait ca a
>ete fixé 'par accident'.
>
>Enfin, j'ai corrige ce bug dans le minimum de temps humainement possible
>pour moi, et je l'ai pris extremement serieusement. Peut etre pour
>certains d'entre vous vous c'est pas assez ou trop tard, nous ferons
>tout ce que nous pourrons dans le futur pour installer de meilleures
>defenses contre ce genre d'evenements.
>  
>
>>>Colin Watson
>>>      
>>>
>
>Bref ca a été corrigé. Et plutot rapidement, le contraire eut été
>étonnant.
>
>
>Vous n'etes pas touche par ce bug si :
>
> - Vous avez modifie le mot de passe du premier utilisateur depuis
>l'installation
>OU
> - Vous etes le seul utilisateur de la machine
>
>
>
>Have Fun !
>
>
>	Ju.
>
>
>
>* Il faut que la ligne :
>   deb http://security.ubuntu.com/ubuntu breezy-security main restricted
>
>apparaisse dans le fichier /etc/apt/sources.list , si non ajoutez la :
>
>http://doc.ubuntu-fr.org/applications/synaptic#comment_ajouter_ou_retirer_des_depots
>
>
>
>
>  
>
Précisons que c'est une faille locale, il y a forcement besoin d'un 
accès (ssh avec un compte utilisateur a distance ou local sur la machine 
physiquement)
Merci aux developpeurs pour leur rapidité
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: https://lists.ubuntu.com/archives/ubuntu-fr/attachments/20060313/a964e58e/attachment.htm 


Plus d'informations sur la liste de diffusion ubuntu-fr