190 meneos
 

La contraseña de root accesible a todo el mundo en Ubuntu

Fallo de seguridad crítico. Al parecer al instalar Ubuntu Breezy se crea un archivo de texto plano (/var/log/installer/cdebconf/questions.dat) accesible a cualquier usuario, en el que aparecen las respuestas a todas las preguntas que se han hecho durante la instalación, incluida la contraseña del root. [Editado: ya está solucionado meneame.net/story.php?id=8856 ]
etiquetas: ubuntu, seguridad, bug
usuarios: 190   anónimos: 0   negativos: 0  
65comentarios mnm karma: 387
  1. #2   pwn3d!!!11unounoonce

    Menuda cagada se han marcado los de Ubuntu :-(
    votos: 0    karma: 8
  2. #3   Acaban de marcar el bug
    launchpad.net/distros/ubuntu/+bug/34606
    votos: 0    karma: 19
  3. #4   Linux era seguro, hasta hoy :-(
    votos: 0    karma: 6
  4. #5   Ubuntu mantiene la cuenta de "root" deshabilitada, así que a lo que se refiere el artículo es a la contraseña del usuario que se crea durante la instalación y no al usuario "root".

    En cualquier caso, ésto permite ganar privilegios de superusuario usando el comando "sudo".
    votos: 0    karma: 6
  5. #6   #5 Si lo instalas en "expert mode" si se crea realmente una cuenta root, aunque sí, la mayoría de la gente lo instala normal y punto.

    Pero el bug aparece indistintamente del modo en que lo instales. Cagada de las gordas. A ver si merece la pena ese retraso de seis semanas en Dapper y se cuidan un poquito más...
    votos: 0    karma: 8
  6. #7   Increible. Esto va a ser un revés importante para esta distro (la cual uso desde sus inicios). Casi seis meses después de su liberación encuentran este enorme agujero de seguridad.
    votos: 0    karma: 9
  7. #8   Cagada monumental, efectivamente.
    votos: 0    karma: 7
  8. #10   cuando digo liberación me refiero a la versión estable, 5.10
    votos: 0    karma: 9
  9. #11   Como dicen en el enlace, yo en ese documento no veo que esté mi password.
    votos: 0    karma: 8
    unf unf
  10. #12   a unf #11
    mi password si estaba, porque desde la instalación no lo he cambiado. Busca el que usaste al instalar
    Lo primero que he hecho ha sido cambiarlo :-(
    votos: 0    karma: 7
  11. #14   #12, yo tampoco lo he cambiado y no me aparece... ¿En qué campo del archivo os aparece?
    votos: 0    karma: 8
    unf unf
  12. #15   unf actualizaste o instalaste de cero Breezy?
    votos: 0    karma: 9
  13. #16   Name: passwd/user-password
    Template: passwd/user-password
    Value: +++

    Name: passwd/user-password-again
    Template: passwd/user-password-again
    Value: +++

    Name: passwd/username
    Template: passwd/username
    Value: +++

    lamentablemente los + son míos, el pass está en claro...
    votos: 0    karma: 7
  14. #17   Yo tengo esto:

    Name: passwd/user-password-crypted
    Template: passwd/user-password-crypted

    bull3tpr00f, instalé Breezy de 0. De todos modos mañana lo miraré también en el ordenador que tengo en casa de mi padre, que también es una Breezy instalada de cero.
    votos: 0    karma: 8
    unf unf
  15. #18   Acabo de comprobarlo en dos instalaciones distintas y NO ES CIERTO que aparezca el password.

    Después he probado con la cadena que dan en el enlace: grep -r rootpassword /var

    Y con esto no se saca absolutamente nada, si acaso una extensa lista de "permiso denegado" puesto que los ficheros sensibles solo son accesibles para el root.

    Todo esto me huele bastante raro.
    votos: 0    karma: 6
  16. #19   Si que aparece... aparece tanto el nombre de usuario como el password, y es un usuario con derechos de sudo con lo cual es como acceder a root.

    Mi solucion: sudo chmod 600 /var/log/installer/cdebconf/questions.dat

    :-)
    votos: 0    karma: 7
  17. #20   Por fin los Linux-fanboys de menéame están descubriendo que cualquier sistema operativo tiene errores...
    votos: 0    karma: 6
  18. #21   Por favor indicame dónde dicen los "Linux-fanboys" que Linux no tiene errores, gracias.
    votos: 0    karma: 8
  19. #22   #19 La solución es borrar ese archivo y cambiar la password cuanto antes.
    votos: 0    karma: 9
  20. #23   Y es GNU/Linux-fanboys mr Troll :-D
    votos: 0    karma: 6
  21. #24   "Por fin los Linux-fanboys de menéame están descubriendo que cualquier sistema operativo tiene errores..."

    La diferencia es que estos errores salen a la luz y se solucionan y en el caso de findows tienes que esperar meses a un parche si tienes suerte, y tu version todavia es mantenida.
    votos: 0    karma: 6
  22. #25   flashman aún no se ha solucionado, y por lo que se vé este error persiste desde que salió a la luz breezy. (aunque me duela decirlo)
    votos: 0    karma: 9
  23. #26   Lo que no queda claro es porqué algunos usuarios dicen tener el password en ese archivo y otros no siendo el mismo sistema y creo el mismo tipo de instalación.
    votos: 0    karma: 6
  24. #27   Si actualizas a breezy desde hoary, no hay ningún problema; yo no tengo ese archivo en el ordenador.
    votos: 0    karma: 6
  25. #28   Esto no es un agujero de seguridad... es un pozo petrolífero de seguridad (por grande, por negro y porque algunos se podrían haber forrado explotándolo)
    votos: 0    karma: 7
  26. #29   En mis máquinas tampoco aparece el password en plano. Además, la cuenta root no tiene password (usa uno generado aleatoriamente para cada instalación). Este bug huele muy raro...
    votos: 0    karma: 14
  27. #30   #26 busca en el archivo la contraseña del usuario inicial que pusiste, no la contraseña de la cuenta root (si es que la tienes activada)

    Yo no pienso cambiarme la contraseña, se me olvidaria fijo :-) y como no tengo ningun servidor, ni telnet ni ssh y soy el unico usuario habria que tener acceso local al ordenador para sacarla de ese archivo, con lo cual me preocupa mas bien poco
    votos: 0    karma: 7
  28. #31   "Esto no es un agujero de seguridad... es un pozo petrolífero de seguridad"

    Tampoco exageremos, el fallo es muy grave, pero es lo que se conoce como fallo local, que significa que hace falta tener acceso a un shell del sistema para explotarlo y no puede ser explotado remotamente.

    De todas formas lo dicho, fallo tonto (guardar la pass en un fichero temporal y en claro ¿?¿?) y grave, estás cosas no deberían pasar.
    votos: 0    karma: 8
  29. #32   a #29
    Olerá raro, pero yo tenía mi password en claro en un fichero que cualquier usuario podía leer...
    No se si se debe a alguna opción o si solo pasa en detrminadas ocasiones, pero en mi caso 100%
    Muy muy grave :-(
    votos: 0    karma: 7
  30. #33   #32: Lo acabo de comprobar en tres máquinas.
    -Una tiene el login y el password, del usuario que creas durante la instalación.
    -Otra solo tiene el login
    -Otra no tiene nada
    Puede deberse a que sean instalaciones de cero o actualizaciones, lo cual significa que el "bug" ha salido con la última versión de Ubuntu.
    Entonces el "bug" consiste en que un archivo tiene más permisos de los que debería, y cualquiera puede ver el contenido de ese archivo.

    No es un error de diseño, sino un grave descuido que por suerte tiene fácil solución.

    ¿Solución del bug? Borrad ese archivo, o quitadle los permisos de lectura a todo el mundo (excepto al root).
    votos: 0    karma: 14
  31. #34   a #33
    si, lo primero que he hecho ha sido es cambiar el password y está claro que se puede borrar el fichero, pero ¿cuanta gente lo va hacer? ¿cuanta gente se va a quedar con el passwor al aire?
    Hombre, se puede decir que se puede corregir fácil, pero desde luego es una cagada gravísima...

    Saludos
    votos: 0    karma: 7
  32. #35   En mi instalación no se encuentra por ningún lado la contraseña ni de root ni de usuario
    votos: 0    karma: 9
  33. #36   :-O Si que es grave si... Le pondremos chmod 600
    votos: 0    karma: 7
  34. #37   mig21: a un usuario "normal" este fallo no le afecta. Sacarán el parche, y se le instalará automáticamente, y no se habrá dado ni cuenta.
    A un "administrador" que controla una máquina con usuarios sí que le puede afectar el problema. Pero presupongo que el administrador sabe administrar... y si no, se merece que le pwneen la máquina :-)
    votos: 0    karma: 14
  35. #38   A ver, Nukeador, estoy hablando de usuarios estándar, ya se que tus sabes usar el chmod :-P
    Y si, DZPM, tienes razón, sacarán un parche y se solucionará, pero la sensación de tonto que se ha quedado con el culo al aire no me la quita nadie :-(
    Saludos
    votos: 0    karma: 7
  36. #39   Y luego están los usuarios que no actualizarán y el tiempo que tardará en salir el parche, y el tiempo que tardará la gente entre que salga el parche y lo instale, y la gente que lo instale desde cero con una ISO antigua...
    votos: 0    karma: 8
    unf unf
  37. #40   ah, qué gustazo... siempre había dicho que ubuntu me parecía una "debian con color mierda" y ahora queda claro que no sólo era el color del tema de Gnome xD

    esto lo digo con sentido del humor, pero a mí me parece que en torno a Ubuntu a un gran hype y que esta distro tiene una reputación que no se merece.
    votos: 0    karma: 8
  38. #41   La diferencia que hay (en mi opinión) de un fallo en GNU/Linux a un fallo en Windows, es que en Windows hacen lo imposible para taparlo de cara a la sociedad y si pueden, denuncian a quien a descubierto que su software ES UNA PUTA MIERDA. En cambio en el software libre los mismos usuarios revisan que todo el software funcione correctamente y al más mínimo fallo se lo indican al desarrollador, el cual se siente profundamente agradecido y entiende que su software debe ser modificado cuanto antes.
    votos: 0    karma: 6
  39. #43   ¿Habéis mirado si está en debian también dicho bug? Es debian stable, en la mia, no sale, pero como en algunas sale y en otras no... también habría que mirar ethc y sid.
    votos: 0    karma: 14
  40. #44   Bueno al fin y al cabo solo se puede explotar teniendo acceso fisico al sistema con lo cual si alguien tiene acceso fisico a mi sistema voy jodido xD , el unico problema es en las redes con varios usuarios... y alguno de ellos malintencionado jeje
    votos: 0    karma: 7
  41. #45   "Bueno al fin y al cabo solo se puede explotar teniendo acceso fisico al sistema"

    No, se puede explotar si se tiene acceso shell, que puede ser físico o no. ¿SSH anyone?
    votos: 0    karma: 8
  42. #46   pues yo lo que hecho ha sido ponerle permsos 600 al fichero, y en dnd pone la contraseña la he cambiado... yo, la verdad que tp lo veo mucho fallo, pero la verdad que es una cagada de las buenas... pero la verdad.. que han tardado bastante en descubrirlo no¿¿ 6 meses.... y para #20 jejejeje... claro que cualquier sistema operativo tiene fallos todavia no ha salido la panacea universal.. pero en linux no se tarda casi 5meses o mas, en sacar un parche... en fin esa es la discusion de siempre. un saludo
    votos: 0    karma: 6
  43. #47   Eso eso... si pasa esto en windows ya os veo esperando al proximo primer martes del mes con el culo al aire :-D :-D :-D
    votos: 0    karma: 7
  44. #48   En mi máquina no es cierto. Y no es actualización ni he cambiado el password nunca.
    Adios.
    votos: 0    karma: 7
  45. #51   La cuestión es que este "tremendo agujero de seguridad" se resuelve escribiendo una línea en una consola, en la ventana de "ejecutar" o entrando en la carpeta con el nautilus/konqueror/lo-que-uses y cambiando los permisos del fichero/borrandolo. Si alguien no es capaz de hacer eso lo mejor que puede hacer (con lo fácil que lo pone casi todo Ubuntu) es dedicarse a otra cosa y olvidarse de los ordenadores. Y no, no es arrogancia. Es que este fallo es "tan complicado" de resolver como encender un movil ("deja tal tecla apretada un momento y se enciende"). Si no sabes abrir una terminal, y digo abrir, y copiar una línea de texto es que lo tuyo es grabe con los ordenadores.
    votos: 0    karma: 6
  46. #52   Uff menudo error. Los que usamos KUbuntu también estamos afectados (lo cual es evidente, siendo KUbuntu un fork de Ubuntu). Lo que es muy pero que muy raro es que hasta ahora nadie se haya dado cuenta. No es un fichero que este tan oculto. Yo a menudo miro logs de apache y samba pero nunca me ha dado por investigar el directorio de los logs al completo. A alguien que le haya dado por ello no se cómo no se ha dado cuenta antes.
    votos: 0    karma: 6
  47. #53   Mira que sois , joder ... ¿ el agujero existe o no existe ?

    El fundamento de publicar una noticia sobre un agujero es precisamente difundir la misma para que todo el mundo pueda modificar/borrar el archivo , no sé porque coño le teneis que dar tantas vueltas a las cosas.

    No se trata ni de ser mejor , ni más seguro , ni más libre , ni mas ostias , se trata de que tienes o puedes tener un agujero y si lo tienes debes solucionarlo (si quieres , claro) ... sea la solución más complicada del mundo o la mayor chorrada de la historia.

    Y por supuesto .. si no te afecta por la razón que sea .. estupendo!
    votos: 0    karma: 18
  48. #54   Al #51, no se trata de que sea de fácil o dificil solución. El problema es que cualquier usuario malintencionado, si se da cuenta de este problema puede provocar un verdadero caos en el sistema. Fijate tu que el usuario root puede hacer lo que le de la real de la gana. Y bueno... ten en cuenta el tener acceso a un sistema, coger la password de root, instalar ssh, acceder desde fuera cuando no te esten vigilando directamente... uff es que es gravisimo... Puedo acceder a los ordenadores de los laboratorios de mi universidad como usuario root si me da la real de la gana, y con ello tirar por tierra el trabajo de todos los técnicos de laboratorio en el montaje de estos. Una barbaridad...
    votos: 0    karma: 6
  49. #55   Ubuntu sux, Fedora es lo mejor, despues de Gentoo.
    votos: 0    karma: 6
  50. #56   #53, pero se podrá hablar del tema, ¿no?
    votos: 0    karma: 8
    unf unf
  51. #57   #54 .. no sé que has leido pero eso es lo que estoy diciendo.
    ---------------
    #56 #53, pero se podrá hablar del tema, ¿no?
    ---------------
    Se puede hablar de lo que se quiera ... pero creo que el TEMA es Ubuntu y su pedazo de agujero .. no el inseguro Windows y el tiempo que se tarda en sacar parches en Redmond.

    Yo lo que digo es que siempre que aparece algo para Linux se acaba hablando de Windows ... pareceis políticos desviando el tema y no lo digo por nadie en concreto ... cada cual sabrá si habla del tema que se trata o si lo desvía ... a saber por y para que.

    A mi el agujerillo ese me la trae al pelo porque no tengo Ubuntu , lo podría haber comentado al principio y sería tan irrelevante como la imágen de "Yo estuve aquí" o decir que en Windows tardan 5 meses en sacar los parches ... pues mirar por donde , los mismos que han tardado en descubrir ese fallo .... es bueno sentirse seguro ... se te olvida buscar agujeros para taparlos , quizás porque pasas el tiempo buscando los fallos de los demás .... C'est la vie (o como sea) ;)
    votos: 0    karma: 18
  52. #58   #52, kubuntu no es ningún fork de ubuntu, no digas barbaridades herejes ;)
    votos: 0    karma: 14
  53. #59   Solo guarda la password que pone al inciio al instalar, si luego la has cambiado ya noo hay peligro, además la solucion es tan sencilla como borrar ese fichero y cambiar la clave si es que piensas que alguien ya la pudo haber obtenido. Solo hacer notar que en Dapper este bug no existe.
    votos: 0    karma: 6
  54. #60   #57: yo estaba hablando con un tal bufalo_1973, no contigo...

    #58: cierto, bueno, perdonad por el lapsus...
    votos: 0    karma: 6
  55. #61   "I have uploaded the source packages, but they are still in the process of being built. I expect updated binary packages to be available within the next couple of hours."

    Palabras de Colin Watson hace unos minutos.
    votos: 0    karma: 9
  56. #62   Colin Watson declara su culpa y explica el porqué del bug: www.ubuntuforums.org/showpost.php?p=818037&postcount=61
    votos: 0    karma: 9
  57. #63   #60 #57: yo estaba hablando con un tal bufalo_1973, no contigo...
    -------
    Mea culpa :-S
    votos: 0    karma: 18
  58. #64   El fallo ya ha sido corregido: meneame.net/story.php?id=8856
    votos: 0    karma: 14
  59. #65   Efectivamnete, la actualización cambia los permisos de lectura del fichero y elimina el password en claro.

    Más tranquilo, la verdad :-)
    votos: 0    karma: 7
comentarios cerrados

menéame