Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

UPPMANING: Alla som kör Ubuntu Breezy (Säkerhetsfix finns!)

En mycket allvarlig bugg har upptäckts och alla installationer av Ubuntu Breezy verkar vara berörda.

En säkerhetsfix har släppts, uppdatera via din pakethanterare.

Beskrivning: Loggar i katalogen /var/log/installer/ innehåller systemets root-lösenord i klartext. Dessa filer är läsbara för alla systemets användare och utgör en oerhörd säkerhetsrisk.

Källa:
Bug #34606

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

ibss bild

Hur ser en sådan fil ut? Någon som vill posta sin? Med lösenordet dolt förstås.

Oscars bild

Hahhahahaha

Alltså, det här är bara helt sjukt.
Och hur kommer det sig att det tog nästan ett halvår innan det upptäcktes?

jaqobs bild

Får hoppas folk tänker på att rensa sina .bash_history osv nu bara...
Ganska dumt att ha lösenord i klartext där oxå misstänker jag

rokas bild

Detta var riktigt klantigt av ubuntu utvecklarna och ubuntu som börjar bli stor i skolor och sånt. Nu har iaf Microsoft nått att vara kaxiga om för evigt...

danielhedbloms bild

ahhh

Helt otroligt att man missade detta. Ännu mer otroligt att inte mina elever gjort slarvsylta av terminalservern. Konstigt att det tog såpass lång tid att upptäcka.

Att göra en patch för detta är ju superenkelt, hoppas man skickar ut den fort?

johannesjohanssons bild

Om jag försår saker rätt så ska det bara vara att uppdatera ubuntu...
http://www.ubuntu.com/usn/usn-262-1

//era

---
Johannes Johansson

svenos bild

Är jag den enda som byter lösenord då och då? Jag grepade på några tecken i mina senaste tre lösenord och fick ingen träff alls. Sen grepade jag på Value och det fanns inga lösenord i klartext då heller.

Kan det ha att göra med när man körde senaste uppdateringen? Jag kör update ganska ofta så det är kanske inte otroligt. När släpptes korrigeringen?

--Sven Olausson

rolandfranss bild

Det är mänskligt att fela. Fördelen här är att dom har ryggrad nog att tala om exakt vad som berörs och vad man ska leta efter, istället för att kalla det för hotfix-22312b, och knipa igen.

Som sagt det är alltid god idé att byta lösen lite då och då.
_______________
http://www.rolandfrans.se
http://www.bash.org/?10484

nope.. "sudo rm -rf" doesn't mean read manaul really fast...

fedors bild

Va då? Är det bara att köra uppdaterings grejen som kommer vid start?

urbans bild

Uppdaterat och bytt lösenord, så var det ur världen. Jag fick just en demo på hur busenkelt det var att knäcka hyfsat "bra" windowslösenord btw.
_______________________________________________________________
Distributing CLUE to users

_______________________________________________________________ http://ubuntu-se.org/drupal/blog/14

http://scibuntu.sourceforge.net/

iaidokas bild

Har Ubuntu ett rootlösenord?

Caps-Lock är ett annat sätt att skriva Ctrl.

Test.

shadewinds bild

Skrivits många gånger här men det tål att sägas igen: Så himla klantigt. När man hanterar lösenord i ett installationsprogram så borde man kolla väldigt mycket extra så inte något sånt här händer.

nlindblads bild

Enklaste sättet att bekräfta är:

grep -r ROOTLÖSENORD /var

Kan vara bra att rensa ~/.bash_history efteråt!
Filen kan se ut såhär:

Name: passwd/user-password
Template: passwd/user-password
Value: <b>myuserpasswd</b>
Name: passwd/user-password-again
Template: passwd/user-password-again
Value: <b>myuserpasswd</b>
From a Breezy machine with expert install:
Name: passwd/md5
Template: passwd/md5
Name: passwd/password-empty
Template: passwd/password-empty
Name: passwd/password-mismatch
Template: passwd/password-mismatch
Name: passwd/root-password-crypted
Template: passwd/root-password-crypted
Name: passwd/root-password-empty
Template: passwd/root-password-empty
Name: passwd/shadow
Template: passwd/shadow
Value: true
Name: passwd/title
Template: passwd/title


jonasbjorks bild
jonas@heffa:~$ grep -r lösenordet /var/log/installer/
/var/log/installer/cdebconf/questions.dat:Value: lösenordet
/var/log/installer/cdebconf/questions.dat:Value: lösenordet

Användaren jonas är en normal användare med samma behörighet som eleverna som arbetar med servern har. Tack Niklas för att du gjorde mig uppmärksam på detta innan mina elever rootade hela maskinen!

Jonas Björk
www.jonasbjork.net

--
Jag är grundare av och administratör på Linuxportalen. Kontakta mig om du har frågor, funderingar eller synpunkter kring Linuxportalen.se .

alberts bild

Jepp. Jag uppdaterade som vanligt i morse. Och nu sökte jag igenom /var/log/installer. Det fanns inga lösenord. Dessutom kan bara root läsa questions.dat och templates.dat.

rolandfranss bild

Japp. Det ska inte vara krångligare än så om jag har förstått det rätt.
_______________
http://www.rolandfrans.se
http://www.bash.org/?10484

nope.. "sudo rm -rf" doesn't mean read manaul really fast...

Oscars bild

Jupp.
På min ena dator gjorde jag detta manuellt, men på laptopen körde jag bara en uppdatering - båda slutade med samma resultat - ett rootlösenord i klartext mindre Smile

johannesjohanssons bild

Nej... men första användaren har möjlighet att använda sitt lösenord för att komma åt rootprivilegier

//era

---
Johannes Johansson

rokas bild

Rainbowcrack kan knäcka riktigt komplicerade windows lösenord på bara några sekunder.

http://www.antsight.com/zsl/rainbowcrack/

lundatoks bild

Ta och läs Scheiers Secrets and Lies så får du (fler) gråa hår... Laughing out loud

ibss bild

Skum fil. Hur används den? I vilket sammanhang?

jeffs bild

Tråden på ubuntuforums.org där detta meddelades för första gången och som diskuterar det hela. Det finns även rapporterat på OSNews.

------

nlindblads bild

Lämnar posten som sticky idag också...

Lade till information om att en uppdatering finns.


iaidokas bild

Men det är väl inte riktigt samma sak? Smile

Sneglade lite i /etc/group, vilken grupp är det som har adminrättigheterna?

Caps-Lock är ett annat sätt att skriva Ctrl.

Test.

alberts bild

Jag testade en Ubuntu live-CD som knäcker windowslösenord. Ophcrack hette programmet och det använder också rainbow tables. Verkar bra de där tabellerna...

nlindblads bild

EDIT: Läs jonas svar.


jonasbjorks bild

Det är under installationen den lagrar lösenordet i en template för att kunna skapa den första användaren, enligt bugrapporten är detta borttaget från Dapper (kommande Ubuntu 6.04). Problemet är om man har användare i systemet, via SSH t.ex. eftersom filen är läsbar för alla.

Jonas Björk
www.jonasbjork.net

--
Jag är grundare av och administratör på Linuxportalen. Kontakta mig om du har frågor, funderingar eller synpunkter kring Linuxportalen.se .

johannesjohanssons bild

Vad för skulle det inte vara det.

skriver du "sudo su" så har du ju fulla root rättigheter och kan göra vad du vill med systemet.

Det där med grupper så tror jag att det är en grupp som skapas av installen med samma namn som första användaren. Kan det inte så?
//era

---
Johannes Johansson

jonasbjorks bild

De användare som kan använda sudo för att bli "root" finns i /etc/sudoers.

Jonas Björk
www.jonasbjork.net

--
Jag är grundare av och administratör på Linuxportalen. Kontakta mig om du har frågor, funderingar eller synpunkter kring Linuxportalen.se .

nlindblads bild

Gruppen admin har rätt att köra alla systemets kommnandon med rootprivilegier.
/etc/sudoers:

# Members of the admin group may gain root privileges
%admin  ALL=(ALL) ALL

Som standard blir den första användaren man skapar medlem i denna grupp!
Notera att sudo använder användarens eget lösenord som standard!


ibss bild

Aha, då fattar jag. Lite klantigt att glömma ta bort den. Smile

Kristians bild

Varför är det just windows-lösenord som nämns? Är inte gnu/linux system med root-konto lika sårbara?

Ubuntus säkerhetsmodell med sudo-användare försvårar ju på så vis att crackers både måste identifiera ett loginnamn och därefter försöka finna lösenordet

---------------------------------------

 

iaidokas bild

Mmm, och så slentriankör man inte som root lika lätt, iaf gör inte jag det på burkar som har sudo-lösningen istället för ett rent root-konto.

Caps-Lock är ett annat sätt att skriva Ctrl.

Test.

Kristians bild

Jag kör ofta 3-5 kommandon på raken när jag jobbar som root så för mig är su *jobb* CTRL + D ytterst bekvämt, jämfört med när man i XP måste logga ut och in som admin för att jobba - varav varenda kotte kör som admin i win

Och nej, jag slentriankör absolut inte, det gäller alltid systempillning/uppgraderingar när jag su:ar i gnu/linux

Men jag frågar - funkar rainbow bara på windowslösenord?

---------------------------------------

 

jonasbjorks bild

Okunskap.
runas har funnits i Windows sedan Windows 2000.
Visdom.

Jonas Björk
www.jonasbjork.net

--
Jag är grundare av och administratör på Linuxportalen. Kontakta mig om du har frågor, funderingar eller synpunkter kring Linuxportalen.se .

rokas bild

jazzy_:
Men jag frågar - funkar rainbow bara på windowslösenord?

Ja Rainbow funkar bara på windows lösenord.

danielhedbloms bild

Runas suger purjo i Windows. Man måste ändå logga in/ut för att få nåt vettigt gjort. Har försökt få flow i arbetet med runas men får ändå logga ut/in så ofta att det inte ger så mycket.