Ett seriöst säkerhetshål i Ubuntu Breezy har upptäckts för bara några timmar sedan; root-lösenordet du angav vid installationen är sparat i klartext i filer som är läsbara av alla.

Så är du inloggad på någon annans dator med Breezy installerat kan du snabbt och lätt ta reda på rootlösenordet och byta det till vad du vill. Detsamma gäller givetvis andra som använder din egen dator - oavsett om det är via SSH eller lokalt.

Det här gäller endast “rena” Breezyinstallationer - kör du Dapper, har uppdaterat från Hoary eller började med en beta av Breezy är du troligtvis säker. Ett riktigt klantarselfel av de som har hand om installationsproceduren helt enkelt.

Filerna som det hela gäller är:
/var/log/installer/cdebconf/questions.dat
/var/log/debian-installer/cdebconf/questions.dat

Dagens tips för Breezyanvändare är att antingen byta lösenord, byta rättigheter eller helt enkelt ta bort ovanstående loggfiler. Det verkar inte som fler filer är påverkade men vill man vara mer noggrann kan man testa en grep -r dittlösenord /var och se om fler filer dyker upp.

Edit: Ubuntugänget håller stilen - kl 15:11 i går postades buggrapporten, klockan 23:01 meddelade den ansvarige för installationsproceduren att en patch var klar. Oavsett hur idiotisk och klantig buggen var måste jag säga att lösningen sköttes snyggt.

Läs buggrapporten
Tråden om säkerhetshålet på Ubuntu Forums

(Via Osnews)

Det här inlägget publicerades 12 March 2006 i Linux / *BSD, Säkerhet
Digga det här inlägget