Grave vulnerabilidad en Ubuntu 5.10
Pongo copia:
Grave problema de seguridad en Ubuntu 5.10
— – — ————————————Tras varias horas en las que no estaba claro el alcance del problema,
incluso si exista o no dicho problema, el equipo de Ubuntu Linux ha
emitido un aviso de seguridad en el que se detallan las condiciones en
la que es posible la revelacin de la clave de root en mquinas que
corran Ubuntu Linux 5.10. El problema puede ser considerado de extrema
gravedad.
Ubuntu es una distribucin Linux basada en Debian, y patrocinada por
Canonical Ltda, iniciativa empresarial de Mark Shuttleworth,
empresario y fundador de la gestora de certificados Thawte. La
distribucin naci originalmente para ser usada como escritorio, si
bien es perfectamente apta, con las debidas precauciones, para
vertebrar servidores.La versin 5.10 de Ubuntu “The Breezy Badger” es susceptible de
revelar la clave de root, almacenada en texto plano. Con la simple
ejecucin en consola de “grep -r rootpassword /var”, aparecen
mltiples localizaciones donde es posible leer, en texto sin cifrar,
el log de la instalacin de Ubuntu, donde aparece la clave escogida
para el root, adems de otras cuestiones que son lanzadas al usuario
a la hora de instalar el producto. Los puntos donde aparece esta
informacin son, en esencia:/var/log/installer/cdebconf/questions.dat:Value: mypasswd
/var/log/debian-installer/cdebconf/questions.dat:Value: mypasswdLos paquetes afectados son base-config y passwd. Ubuntu se ha
apresurado a emitir el aviso y proporcionar parches para ambos,
2.67ubuntu20 (base-config) y 1:4.0.3-37ubuntu8 (passwd). Los paquetes
actualizados no slo eliminan las claves en los logs, sino que
convierten los registros de instalacin en nicamente legibles por
el root de la mquina. El problema permite que cualquier usuario
local pueda obtener la clave que se eligi en la instalacin de
la distribucin, que muchas veces no se cambia y que por tanto,
facultara a un atacante a tomar control completo de los servicios
que pendan de la distribucin.El fallo es un error de diseo monumental, y tal y como se verifica
en este caso, los problemas de seguridad son a veces despistes
incomprensibles de los desarrolladores y probadores. Afortunadamente
para los usuarios del producto, la reaccin ha sido muy rpida y los
parches se han puesto a disposicin del pblico con gran celeridad.
Tirn de orejas por el despiste, y aplausos para el modelo de
respuesta ante incidentes desplegado.El problema no afecta a otras versiones de Ubuntu como 4.10 y 5.04.
No obstante, los usuarios que hayan actualizado a la versin en
desarrollo, 6.04 “The Dapper Drake” desde una mquina 5.10 “The Breezy
Badger” deben asegurar la instalacin de los parches. Especial cuidado
deben tener los usuarios que utilicen Ubuntu para servir, por motivos
obvios.Para actualizar, debe bastar, en la mayora de los casos, una
actualizacin va “apt-get dist-upgrade”. Otros mtodos, como los
frontales de gestin de paquetes tipo “synaptic”, son vlidos
igualmente.Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2697/comentarMs informacin:
Ubuntu 5.10 installer vulnerability
http://www.ubuntu.com/usn/usn-262-1Aviso original en los foros de Ubuntu
http://www.ubuntuforums.org/showthread.php?t=143334Ubuntu Linux
http://www.ubuntu.com
