Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Veiligheidsfout Ubuntu onthult password

Veiligheidsfout Ubuntu onthult password

Door Martin Sturm, maandag 13 maart 2006 10:13
Bron: Ubuntu, views: 26.584

Een gebruiker van de Linux-distributie Ubuntu heeft gisteren ontdekt dat het installatieprogramma van de distributie de gebruikersnaam en het wachtwoord van de eerste gebruiker die tijdens de installatie wordt aangemaakt in plaintext opslaat in een logbestand. Dit logbestand is echter voor elke gebruiker te lezen, zelfs voor gebruikers met minimale rechten op het systeem. Het gevolg hiervan is dat iedereen die toegang heeft tot het systeem eenvoudig root-rechten kan verkrijgen.

Ubuntu cdDe fout heeft betrekking op de laatste actuele versie van de distributie die de naam 'Breezy Badger' en versienummer 5.10 heeft. De komende versie, 'Dapper Drake', heeft het probleem niet, en ook de oudere versies van de distributie, 'Hoary Hedgehog' en 'Warty Warthog' worden niet getroffen door dit veiligheidsprobleem. De eerste gebruiker die door het installatieprogramma van Ubuntu wordt aangemaakt heeft ook rechten om via 'sudo' programma's uit te voeren, waardoor het mogelijk is om alle handelingen die de root-gebruiker uit kan voeren, kunnen worden uitgevoerd zonder eerst in te loggen als 'root'. Hierdoor is de impact op de veiligheid van het systeem van deze bug tamelijk groot. Het wachtwoord dat tijdens de installatieprocedure wordt ingevoerd wordt opgeslagen in twee bestanden, namelijk 'var/log/installer/cdebconf/questions.dat' en '/var/log/debian-installer/cdebconf/questions.dat'.

Een eenvoudige en snelle oplossing voor het probleem is het verwijderen van deze twee bestanden, of de rechten aan te passen zodat alleen de root-gebruiker de bestanden kan lezen. Uiteraard is het aan te raden om hierna het password van de eerste gebruiker die is aangemaakt te veranderen, indien dat nog hetzelfde wachtwoord is wat ook in de bestanden wordt genoemd. De bug, die gisteren is ontdekt, is dezelfde dag nog opgelost door de ontwikkelaars van het besturingssysteem. Deze hebben inmiddels een bugreport gepubliceerd waarin wordt bekendgemaakt dat er nieuwe versies van de programma's 'base-config' en 'passwd' beschikbaar zijn, die tevens het password uit de gewraakte bestanden verwijderen en de files alleen leesbaar maken voor root. Systemen die Ubuntu draaien krijgen automatisch de melding dat de update beschikbaar is en kan worden geïnstalleerd.

Volgende 10:19 Microsoft belicht visie op online-advertentiemarkt
Vorige 09:56 Fujitsu-Siemens gaat Blu-ray en HD-DVD ondersteunen
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 77 reacties zichtbaar770 Off-topic / Irrelevant: 76 reacties zichtbaar76+1 On-topic: 62 reacties zichtbaar62+2 Informatief: 21 reacties zichtbaar21+3 Spotlight: 6 reacties zichtbaar6
«  1  2  »

Door dandy86, maandag 13 maart 2006 10:15

Score: 0
whahaha wel een hele stomme fout

Door Cybje, maandag 13 maart 2006 10:17

Score: 1
Mee eens ... je verzint toch niet dat je een wachtwoord ergens plain text opslaat. En dan verzin je toch al helemaal niet dat in een logfile te doen, waarvan een groot deel (en dus deze ook) voor iedereen leesbaar is? Volgens mij snapt zelfs de meest simpele programmeur/scripter dat nog.

Door BramT, maandag 13 maart 2006 11:13

Score: 1
Maar hier zie je nou precies waarom er dit soort 'bugs'/lekken optreden in complexe software: er is geen 1 programeur geweest die heeft gedacht "goh, laat ik de username/pass 's plain-text opslaan hier". Waarschijnlijk was het handig/noodzakelijk om het hele installatie-proces te loggen en op te slaan. Er is alleen niet aan gedacht dat de username/password ook in dit proces zitten.

Dit is exact hoe 'bugs'/lekken optreden. Het is meestal niet zo dat iemand echt iets 'doms' zit te programmeren, maar gewoonweg (op dat moment) niet het totale overzicht heeft. Hierdoor ontstaan er ongewenste neveneffecten, ookwel bugs e.d. genoemd ;)

Door catfish, maandag 13 maart 2006 11:21

Score: 0
ongewenste neveneffecten noemt men eerder "features"

bugs zijn eerder fouten in het algoritme waardoor er foute resultaten zijn

Door Gepetto, maandag 13 maart 2006 10:28

Score: 1
* 786562 Gepetto

Door hAl, maandag 13 maart 2006 10:19

Score: 1
Inderdaad wel een genante blunder zeg.
Hiermee maken een paar programmeurs zich wel erg belachelijk.

Het zal wel weinig kwaad doen als het snel wordt gepatched maar het wordt wel een klassieker in lijstjes met all time stupidest progrmmaing mistakes and bugs.

Door MattOnTheNet, woensdag 15 maart 2006 09:48

Score: 1
Belachelijk? Wel een beetje harde reactie hoor. Dit is typisch een voorbeeld van - tijdens de ontwikkelingsfase - even een variabele grijpklaar (leesbaar) beschikbaar stellen ter controle of zo. Net zo begrijpelijk als het laten bestaan van een programmatisch breakpoint (als dit gelijk is aan dat en user=root then Beep of zo). Da's ook slordig.Tijdens de final release vergeten eruit te halen, Slordig: ja. Begrijpelijk: ja. Vergaat de wereld: nee. Belachelijk: kom op zeg...

Door RutgerM, maandag 13 maart 2006 10:19

Score: 1
Leuk als je er een webserver op draait. Heb het er toch al nooit wat voor gevonden... eerder simpel een Linux server draaien omdat je je Desktop ook op die manier kent :z

Door MarcusKara, maandag 13 maart 2006 10:30

Score: 3
Ja, al zou je dat doen. Apache (of andere webserver) mag niet in die directory's komen. Als je een webserver draait hoop ik dat ie alleen in de wwwdocs blijft...

Door kodak, maandag 13 maart 2006 10:41

Score: 2
Leuk bedacht, maar het is nog niet zo dat PHP en CGI scripts overal beperkte rechten hebben.

Door Power2All, maandag 13 maart 2006 11:20

Score: 0
Ze worden anders wel gejailed.
Dus lijkt mij logisch dat je geen noob scripts op je server hebt :)

Door thomasvk, maandag 13 maart 2006 11:54

Score: 3
Als je PHP draait icm met Apache, dan wordt PHP uitgevoerd 'in' of 'onder' Apache en met dezelfde rechten als Apache. Als je je systeem ook maar een beetje goed hebt ingesteld, kan Apache nergens bij waar die niet moet, en dus PHP ook niet.

Door kodak, dinsdag 14 maart 2006 23:05

Score: 1
@t0maz: Je draait om het probleem heen. Het gaat er niet om wat je kan instellen maar waarmee het onveilig is. Je kan Apache nog zoveel onder een bepaalde uid en groeprechten laten draaien, je kan met die rechten standaard het wachtwoord uitlezen uit de world readable file waar het in staat.

Door moto-moi, maandag 13 maart 2006 10:34

Score: 3
Volgens mij snap jij het verschil niet tussen een local root exploit en een remote root exploit. Dit is puur een local exploit, dus als iedereen die op die bak kunnen al sudo rechten hebben is er eigenlijk niets aan de hand behalve dat het niet 'netjes' is. Een webserver zal nooit buiten z'n webroot mogen komen, dus het enige probleem wat je dan hebt is dat de webserver misschien via php deze files opent. Dus shared hosting (zonder login) zullen zich ook zorgen dienen te maken.

Verder zat in 2.6 op een gegeven moment ook een local root exploit, het is alleen slordig, maar zolang er nog steeds gebruikers zijn die hun wachtwoorden op hun computer post-itten, is dit niet het meest vreselijke wat er kan gebeuren ;)

Door MarcusKara, maandag 13 maart 2006 10:36

Score: 3
@moto-moi: Ik weet dat je system admin bent bij Tweakers.net maar ik wil je toch zeggen dat een goed geconfigureerde PHP niet buiten zijn vhost komt. Ik heb ze zo gesetupt dat ze niet buiten hun dir komen. PHP weigert dat gewoon...

Voor de rest idd, alleen local exploit. Dat andere gebruikers op de PC root access kunnen krijgen...

Door moto-moi, maandag 13 maart 2006 10:47

Score: 2
Soms heb je dat alleen nodig omdat je devvers wat raars verzinnen ;) Verder wil je ook niet dat je wachtwoorden binnen je vhost staan, ongeacht of je .htaccess files gebruikt of niet :)

Door Pietje Puk, maandag 13 maart 2006 14:49

Score: 1
Het feit dat het een local root exploit is, is leuk maar natuurlijk van ondergeschikt belang. Je zal niet de eerste zijn die gehacked wordt doordat men eerst onder de naam van een slordige medewerker binnenkomt en dan via een local root exploit het systeem overneemt. En dan vergeet ik even dat eigen medewerkers ook wel eens willen hacken.

Een local root exploit is dus vanuit veiligheidsoogpunt net zo'n ramp als een remote root exploit. De manier waarop het gebruikt kan worden is anders, maar elke root exploit dient zo spoedig mogelijk gedicht te worden.

Door GENETX, maandag 13 maart 2006 10:20

Score: 2
Het lijkt me ook dat deze bug in Kubuntu 5.10 zit (de distro die ik zelf gebruik) of niet? Kubuntu is gewoon Ubuntu maar dan KDE desktop ipv gnome.

Door alexcj, maandag 13 maart 2006 10:35

Score: 2
klopt, Ik draai hier Ubuntu met een KDE schilletje en dat heeft inderdaad last van deze 'bug'.

Door brainball, maandag 13 maart 2006 10:41

Score: 1
zover ik weet en op de ubuntu website staat is er niet zoiets als een apparte installatie CD voor Kubuntu. Dus ja kubuntu heeft hier ook al last van.

Alleen zo gauw je de eerste online update gedraaid hebt is het probleem alweer opgelost. Zoals iemand iets verder op ook vertelt.

Door doelman, maandag 13 maart 2006 12:03

Score: 1
Dr is wel gewoon een apare cd voor kubuntu: http://kubuntu.org/download.php
En Kubuntu is niet gewoon Ubuntu met een KDE schilletje. Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.

Door Whollabilla, maandag 13 maart 2006 13:39

Score: 1
En Kubuntu is niet gewoon Ubuntu met een Gnome schilletje.
Inderdaad, tis een Ubuntu met KDE :+
Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.
Het lijkt me sterk dat het nieuwer is, het kan wel anders zijn dan in Ubuntu, maar ze zullen denk ik niet een andere versie van een programma in Kubuntu gooien dan in Ubuntu.

Door daapah, maandag 13 maart 2006 15:45

Score: 1
apt-get install kubuntu-desktop?

Door doelman, maandag 13 maart 2006 16:15

Score: 1
Wat ik bedoelde was dat de grafische configuratieprogramma's van ubuntu ouder zijn dan die van kubuntu, en dus beter doorontwikkeld.

Bijv. de programma's guidance en adept van kubuntu zijn vrij nieuw, en op bepaalde fronten nog niet uitgekristalliseerd. (zo zijn ze momenteel niet te vertalen in het nederlands..)

(domme typo van mij net)

Door sus, maandag 13 maart 2006 10:20

Score: 1
Is dit alleen van toepassing op Ubuntu, of is ook Kubuntu hierdoor getroffen.

Door schnitzelcore, maandag 13 maart 2006 10:32

Score: 1
Ja, Kubuntu ook. Op het Ubuntu forum wordt trouwens ook gezegd dat de fout niet tijdens iedere install optreedt, dus grep even om te zien of jouw machine het probleem heeft of niet als je het echt zeker wilt weten.

Door jpwaag, maandag 13 maart 2006 10:36

Score: 1
Het gaat om de pakketen base-config, login, en passwd. Die zijn voor alle (x|ed|k)ubuntus hetzelfde. die worden dus ook getroffen

Door The Flying Dutchman, maandag 13 maart 2006 10:20

Score: 1
Sterker nog, het root wachtwoord is ook gewoon leesbaar! Ik heb het zojuist even gechecked. In het eerste bestand staat je root wachtwoord ook in plain text leesbaar in de file.

Door RutgerM, maandag 13 maart 2006 10:21

Score: 0
Dat wordt ook verteld in het hele verhaal... al wakker ?? :z

Door The Flying Dutchman, maandag 13 maart 2006 10:27

Score: 1
Misschien ben ik nog niet wakker... maar ik zie hier op deze pagina alleen staan dat het wachtwoord van de eerste gebruiker (dus de gebruiker die je na root aanmaakt) leesbaar is. Maar behalve dat wachtwoord, is het wachtwoord van root zelf ook leesbaar dus.

De bron heb ik niet gelezen overigens.

Daarnaast is het ene bestand bij mij gewoon een link naar het andere bestand (de directory debian-installer is een link naar de directory installer), dus je hoeft maar 1 bestandje weg te gooien of te wijzigen als het goed is.

Door Treenaks, maandag 13 maart 2006 10:47

Score: 1
Urh, in ubuntu *HEEFT* root geen password.

Sudo to the rescue enzo (met alle voor- en nadelen die dat met zich meebrengt, zoals dat je weet welke admin het verprutst heeft ;))

Door The Flying Dutchman, maandag 13 maart 2006 11:15

Score: 1
Ik heb anders wel een root in ubuntu met een password. Wellicht komt het omdat ik de 'expert' installatie mode heb gebruikt?

In ieder geval kan ik gewoon het commando:
'su root'
Geven en vervolgens inloggen en als root m'n ding doen. Weliswaar kan ik niet direct inloggen als root met Gnome. Maar via de terminal kan het bij mij wel degelijk.

Door Du-Djutz, maandag 13 maart 2006 11:45

Score: 1
Als eerste gebruiker kan je met het commando "sudo passwd root" gewoon een root-wachtwoord maken.

Door desmond, maandag 13 maart 2006 10:29

Score: 3
De automatische update functie patcht dit direkt door leesrechten in te trekken voor iedereen behalve root.

Door hAl, maandag 13 maart 2006 10:32

Score: 1
Leukste comment op /.
What's the problem? Open source passwords make it more secure.

Door loodgieter, maandag 13 maart 2006 11:08

Score: 1
Ja leuk grapje, |:(

maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.

Kortom vrij jammer dit.

voelen de linuxfanboys zich aangevallen ofzow zie hieronder..?

Door RetepV, maandag 13 maart 2006 11:17

Score: 1
Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.

En dit is geen gelul, Microsoft heeft al vaker zo gehandeld.

Maar goed, dit zou inderdaad een kapitale blunder zijn, ware het niet dat Ubuntu toch al gratis was :).

Door Top-Rob, maandag 13 maart 2006 11:19

Score: 0
Linux kost je dan ook geen rib uit je lijf :7

Edit: sorry, RetepV was me voor

Door Tuxs, maandag 13 maart 2006 11:21

Score: 2
Er werd niet luchtig over gedaan... Nu wel omdat het al opgelost is... like paar uur na bekendmaking..... Daarom word er luchtig over gedaan.

Door cdhoestje, maandag 13 maart 2006 11:23

Score: 2
Bij microsoft bugs is 90% van de computergebruikers de pisang, niet verwonderlijk dat dan het geklaag luider klinkt. Ubuntu heeft een marktaandeel onder de 1% en is gratis.

Door PaddoSwam, maandag 13 maart 2006 14:39

Score: 0
Wie betaalt er dan ook voor Windows? Ik niet iig :P

Dus voor mij is Windows ook gratis en dat maakt het nog niet een beter product hoor..

Alleen dat je een gegeven paard niet in de bek mag kijken ofzo..

Door moto-moi, maandag 13 maart 2006 11:59

Score: 3
maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.
Volgens mij zijn de meeste mensen die windows gebruiken sowieso al 'root' kwa rechten, linux en andere *nix systemen doet dat juist niet. Dus je hele rant gaat nergens over ;)

Door RetepV, maandag 13 maart 2006 13:29

Score: 2
Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.
Why the hell is mijn reactie als flamebait weggemod? Dit is afgelopen jaar een paar keer *precies* zo gebeurd hoor. Niks geen flamebait. WERKELIJKHEID.

Over fanboy gedrag gesproken. Sjonge. |:(

Edit:

Security bulletin MS02-056

Deze fout heeft bijna een JAAR in SQL Server gezeten voordat Microsoft het patchte. SQL Server 7.0 en SQL Server 2000 hadden er last van. Er zijn hele communities van scriptkiddies ontstaan die op die manier toegang konden verkrijgen tot systemen (onder andere één van de onze).

Edit2:

Nou, kijk, nou ben ik 'overbodig' gemod. Da's inderdaad zo. Het behoeft eigenlijk helemaal geen post om aan te geven waar Microsoft faalt ten opzichte van open source software. :*)

Door loodgieter, maandag 13 maart 2006 15:21

Score: 0
hap hap hap hap hap :Z

en trouewens ik gebruik zowel linux als windows dus. mij maakt het niets uit.

Door blouweKip, maandag 13 maart 2006 18:21

Score: 1
valt wel mee, bij windows heb je zoveel ergere exploits die ook nog eens langzamer gefixt worden dat dit niet eens nieuws zou zijn

Door kodak, maandag 13 maart 2006 10:35

Score: 1
Dit laat nmm het verschil tussen professionele distributies als RedHat en SuSE en de populaire nieuweling Ubuntu zien. Er ontbreekt een goed vorm van kwaliteitcontrole en het moet zich nog steeds bewijzen als betrouwbare distributie. Dit soort zaken moet je gewoon serieus nemen, en niet alleen achteraf snel iets recht kunnen zetten.

Door Treenaks, maandag 13 maart 2006 10:49

Score: 2
Er is wel degelijk kwaliteitscontrole, maar hier is gewoon overheen gekeken. Mensenwerk enzo. Waar gehakt wordt vallen spaanders.

Elke distributie, en elk OS heeft wel eens een grote security-uitglijder.. kan gebeuren, hoeveel QA je ook doet.

Door kodak, maandag 13 maart 2006 19:28

Score: 2
Dat is wel de makkelijkste uitweg om het voorval recht te praten. Natuurlijk, waar gehakt wordt vallen spaanders, maar bij deze fout is er een in de orde van "kan alleen voorkomen als de kwaliteitcontrole rond beveiliging niet hoog genoeg is". Geen enkele gerenomeerde distributie zou deze fout in zich kunnen hebben op de manier waarop ze gecontroleerd worden voordat er een release plaats vind.

Door krpors, maandag 13 maart 2006 10:49

Score: 1
DIT laat het verschil zien tussen de distributies? Kap nou even.

Door kodak, maandag 13 maart 2006 19:35

Score: 2
Je kan het misschien niet leuk vinden maar dit voorval laat nmm inderdaad het verschil zien. Je denkt er kennelijk anders over, maar kom dan op zijn minst met een tegenargument.
Linux distrubuties die goed met beveiliging en kwaliteit bezig zijn halen dit soort programmeer blunders er bij het ontwikkelen en testen al uit. Niet omdat ze geen blunders maken maar omdat die distributies veel strengere kwaliteitseisen hebben. Er zit helaas een behoorlijk verschil in manier van ontwikkelen.

Door Hans van Eijsden, maandag 13 maart 2006 10:48

Score: 2
Op geen van alle 19 systemen met Ubuntu 5.10 (clean install van de 5.10 CD) die ik in mijn beheer heb, heb ik het probleem aangetroffen.
Ik weet dus niet wat de impact is van deze fout, het lijkt me niet dat per definitie alle 5.10 systemen onveilig zijn geworden.
Sowieso kan 'apt-get update && apt-get dist-upgrade' nooit kwaad om te doen :Y)

Door ptt, maandag 13 maart 2006 11:08

Score: 1
Hier ook geen wachtwoord te vinden in die questions.dat, en dat bestand is niet door een update gewijzigd (ieg niet na 3-10-2005), tenzij de datum daarbij behouden is.

Niettemin is het wel een beetje een slordig foutje.

Door Fisheke, maandag 13 maart 2006 12:36

Score: 1
Idem hier,
niet te vinden en de files zijn niet geupdate in maanden..

Het is volgens mij een bug die lang niet overal terug te vinden is..
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:19 Microsoft belicht visie op online-advertentiemarkt
Vorige 09:56 Fujitsu-Siemens gaat Blu-ray en HD-DVD ondersteunen
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011