Veiligheidsfout Ubuntu onthult password

Een gebruiker van de Linux-distributie Ubuntu heeft gisteren ontdekt dat het installatieprogramma van de distributie de gebruikersnaam en het wachtwoord van de eerste gebruiker die tijdens de installatie wordt aangemaakt in plaintext opslaat in een logbestand. Dit logbestand is echter voor elke gebruiker te lezen, zelfs voor gebruikers met minimale rechten op het systeem. Het gevolg hiervan is dat iedereen die toegang heeft tot het systeem eenvoudig root-rechten kan verkrijgen.

Ubuntu cd De fout heeft betrekking op de laatste actuele versie van de distributie die de naam 'Breezy Badger' en versienummer 5.10 heeft. De komende versie, 'Dapper Drake', heeft het probleem niet, en ook de oudere versies van de distributie, 'Hoary Hedgehog' en 'Warty Warthog' worden niet getroffen door dit veiligheidsprobleem. De eerste gebruiker die door het installatieprogramma van Ubuntu wordt aangemaakt heeft ook rechten om via 'sudo' programma's uit te voeren, waardoor het mogelijk is om alle handelingen die de root-gebruiker uit kan voeren, kunnen worden uitgevoerd zonder eerst in te loggen als 'root'. Hierdoor is de impact op de veiligheid van het systeem van deze bug tamelijk groot. Het wachtwoord dat tijdens de installatieprocedure wordt ingevoerd wordt opgeslagen in twee bestanden, namelijk 'var/log/installer/cdebconf/questions.dat' en '/var/log/debian-installer/cdebconf/questions.dat'.

Een eenvoudige en snelle oplossing voor het probleem is het verwijderen van deze twee bestanden, of de rechten aan te passen zodat alleen de root-gebruiker de bestanden kan lezen. Uiteraard is het aan te raden om hierna het password van de eerste gebruiker die is aangemaakt te veranderen, indien dat nog hetzelfde wachtwoord is wat ook in de bestanden wordt genoemd. De bug, die gisteren is ontdekt, is dezelfde dag nog opgelost door de ontwikkelaars van het besturingssysteem. Deze hebben inmiddels een bugreport gepubliceerd waarin wordt bekendgemaakt dat er nieuwe versies van de programma's 'base-config' en 'passwd' beschikbaar zijn, die tevens het password uit de gewraakte bestanden verwijderen en de files alleen leesbaar maken voor root. Systemen die Ubuntu draaien krijgen automatisch de melding dat de update beschikbaar is en kan worden geïnstalleerd.

Lees meer

Reacties (77)

+3 desmond

13 maart 2006 10:29

De automatische update functie patcht dit direkt door leesrechten in te trekken voor iedereen behalve root.

+1 RutgerM
13 maart 2006 10:19

Leuk als je er een webserver op draait. Heb het er toch al nooit wat voor gevonden... eerder simpel een Linux server draaien omdat je je Desktop ook op die manier kent

moto-moi
@RutgerM • 13 maart 2006 10:34

Volgens mij snap jij het verschil niet tussen een local root exploit en een remote root exploit. Dit is puur een local exploit, dus als iedereen die op die bak kunnen al sudo rechten hebben is er eigenlijk niets aan de hand behalve dat het niet 'netjes' is. Een webserver zal nooit buiten z'n webroot mogen komen, dus het enige probleem wat je dan hebt is dat de webserver misschien via php deze files opent. Dus shared hosting (zonder login) zullen zich ook zorgen dienen te maken.

Verder zat in 2.6 op een gegeven moment ook een local root exploit, het is alleen slordig, maar zolang er nog steeds gebruikers zijn die hun wachtwoorden op hun computer post-itten, is dit niet het meest vreselijke wat er kan gebeuren

+3 MarcusKara
@moto-moi • 13 maart 2006 10:36

@moto-moi: Ik weet dat je system admin bent bij Tweakers.net maar ik wil je toch zeggen dat een goed geconfigureerde PHP niet buiten zijn vhost komt. Ik heb ze zo gesetupt dat ze niet buiten hun dir komen. PHP weigert dat gewoon...

Voor de rest idd, alleen local exploit. Dat andere gebruikers op de PC root access kunnen krijgen...

moto-moi
@MarcusKara • 13 maart 2006 10:47

Soms heb je dat alleen nodig omdat je devvers wat raars verzinnen

Verder wil je ook niet dat je wachtwoorden binnen je vhost staan, ongeacht of je .htaccess files gebruikt of niet

+1 Pietje Puk
@moto-moi • 13 maart 2006 14:49

Het feit dat het een local root exploit is, is leuk maar natuurlijk van ondergeschikt belang. Je zal niet de eerste zijn die gehacked wordt doordat men eerst onder de naam van een slordige medewerker binnenkomt en dan via een local root exploit het systeem overneemt. En dan vergeet ik even dat eigen medewerkers ook wel eens willen hacken.

Een local root exploit is dus vanuit veiligheidsoogpunt net zo'n ramp als een remote root exploit. De manier waarop het gebruikt kan worden is anders, maar elke root exploit dient zo spoedig mogelijk gedicht te worden.

+3 MarcusKara
@RutgerM • 13 maart 2006 10:30

Ja, al zou je dat doen. Apache (of andere webserver) mag niet in die directory's komen. Als je een webserver draait hoop ik dat ie alleen in de wwwdocs blijft...

+2 kodak
@MarcusKara • 13 maart 2006 10:41

Leuk bedacht, maar het is nog niet zo dat PHP en CGI scripts overal beperkte rechten hebben.

+3 84969
@kodak • 13 maart 2006 11:54

Als je PHP draait icm met Apache, dan wordt PHP uitgevoerd 'in' of 'onder' Apache en met dezelfde rechten als Apache. Als je je systeem ook maar een beetje goed hebt ingesteld, kan Apache nergens bij waar die niet moet, en dus PHP ook niet.

+1 kodak
@kodak • 14 maart 2006 23:05

@t0maz: Je draait om het probleem heen. Het gaat er niet om wat je kan instellen maar waarmee het onveilig is. Je kan Apache nog zoveel onder een bepaalde uid en groeprechten laten draaien, je kan met die rechten standaard het wachtwoord uitlezen uit de world readable file waar het in staat.

0 62643
@kodak • 13 maart 2006 11:20

Ze worden anders wel gejailed.
Dus lijkt mij logisch dat je geen noob scripts op je server hebt

GENETX
13 maart 2006 10:20

Het lijkt me ook dat deze bug in Kubuntu 5.10 zit (de distro die ik zelf gebruik) of niet? Kubuntu is gewoon Ubuntu maar dan KDE desktop ipv gnome.

+2 alexcj
@GENETX • 13 maart 2006 10:35

klopt, Ik draai hier Ubuntu met een KDE schilletje en dat heeft inderdaad last van deze 'bug'.

+1 brainball
@GENETX • 13 maart 2006 10:41

zover ik weet en op de ubuntu website staat is er niet zoiets als een apparte installatie CD voor Kubuntu. Dus ja kubuntu heeft hier ook al last van.

Alleen zo gauw je de eerste online update gedraaid hebt is het probleem alweer opgelost. Zoals iemand iets verder op ook vertelt.

doelman
@brainball • 13 maart 2006 12:03

Dr is wel gewoon een apare cd voor kubuntu: http://kubuntu.org/download.php
En Kubuntu is niet gewoon Ubuntu met een KDE schilletje. Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.

Whollabilla
@doelman • 13 maart 2006 13:39

En Kubuntu is niet gewoon Ubuntu met een Gnome schilletje.

Inderdaad, tis een Ubuntu met KDE

Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.

Het lijkt me sterk dat het nieuwer is, het kan wel anders zijn dan in Ubuntu, maar ze zullen denk ik niet een andere versie van een programma in Kubuntu gooien dan in Ubuntu.

+1 daapah
@doelman • 13 maart 2006 15:45

apt-get install kubuntu-desktop?

doelman
@doelman • 13 maart 2006 16:15

Wat ik bedoelde was dat de grafische configuratieprogramma's van ubuntu ouder zijn dan die van kubuntu, en dus beter doorontwikkeld.

Bijv. de programma's guidance en adept van kubuntu zijn vrij nieuw, en op bepaalde fronten nog niet uitgekristalliseerd. (zo zijn ze momenteel niet te vertalen in het nederlands..)

(domme typo van mij net)

Hans van Eijsden
13 maart 2006 10:48

Op geen van alle 19 systemen met Ubuntu 5.10 (clean install van de 5.10 CD) die ik in mijn beheer heb, heb ik het probleem aangetroffen.
Ik weet dus niet wat de impact is van deze fout, het lijkt me niet dat per definitie alle 5.10 systemen onveilig zijn geworden.
Sowieso kan 'apt-get update && apt-get dist-upgrade' nooit kwaad om te doen

+1 ptt
@Hans van Eijsden • 13 maart 2006 11:08

Hier ook geen wachtwoord te vinden in die questions.dat, en dat bestand is niet door een update gewijzigd (ieg niet na 3-10-2005), tenzij de datum daarbij behouden is.

Niettemin is het wel een beetje een slordig foutje.

+1 Fisheke
@ptt • 13 maart 2006 12:36

Idem hier,
niet te vinden en de files zijn niet geupdate in maanden..

Het is volgens mij een bug die lang niet overal terug te vinden is..

Mars Warrior
13 maart 2006 10:56

* 786562 Mars

killercow
@Mars Warrior • 13 maart 2006 11:08

Niet zo flamen vent....

Bij MS zouden we een maand moeten wachten op de volgende patch dinsdag, en jah MS heeft dit ook al eens gehad:

Quote:
If it was relvealed that the local Administrator account or the domain Administrator account was stored anywhere as plain text in Windows 2000, XP, or 2003, then MS would be reamed endlessly and very harshly here.

Interestingly enough Microsoft did make pretty much the same mistake, with Microsoft SQL 7, both servicepack 1 & 2. They wrote the SQL administrator password to the installation log file, which would give you full access to any SQL database on the server. Written to a logfile in the TEMP folder, which by default has full read/write access for ANY user on the system.

Security bulletin: https://www.microsoft.com/technet/security/bulleti n/MS00-035.mspx \[microsoft.com]

(The 'non-recommended' mode mentioned is using SQL authentication instead of windows NTLM authentication, which much more common then they try to make it sound)

En die fout was er meer dan een JAAR! (nadat ze het volgens hen gefixed hadden.)

Die paar uurtjes die Ubuntu er over gedaan heeft zijn dus peanuts.

To_Tall
@killercow • 13 maart 2006 18:34

Misch licht het aan mij maar bij MS was dit ook niet zo'n grote fout.

1 bij reboot van je systeem laat je altijd je TMP files weggooien
2 als je systeem niet reboot dan laat je de machine 1x per dag, week of maand ff de TMP files weggooien.
3 als beheerder moet je ook 1x in de x tijd je wachtwoord veranderen voor secure computing.

tata probleem is dus ook opgelost.

+2 Wirehead-IA
@Mars Warrior • 13 maart 2006 14:10

De fout zit dan ook niet in Linux; maar in een slechte implementatie van de Ubuntu installer. Dus hoezo minder geflame dan op een MS-based OS?

0 BartOtten
@Mars Warrior • 13 maart 2006 15:16

Dikke +4 inzichvol verdient. Ben zelf groot Linux-fan maar ben wel reeel genoeg om te zeggen dat veel fans een grote roze bril op hebben als het om Linux gaat. Je kan ook maar 5% van de Linux-fansites gebruiken, voor opinievorming, om die reden.

De mensen die Mars flamebait meegeven bevestigen de Inzichtvolheid maar weer

Flamen is iemand afbranden (ow daarom dat woord), de vinger op de zere plek leggen en mensen indirect oproepen na te denken voor ze posten is iets heeeeeel anders.

+1 zer0dev
@BartOtten • 13 maart 2006 19:08

ik geef grif toe dat dit een fout is die niet door de beugel kan. maar je moet ook wel ergens een onderscheid maken in linux distributies. ubuntu is niet gericht op bedrijven ed. maar op familliaal gebruik. dat je vader die niets van computers afweet de mogelijk had om root te worden... niet echt erg.

debian(stable) word zeer zwaar getest op zulke dingen en bij deze distributie durf ik zeggen ga je dit soort zaken niet tegen komen. Ik zelf draai arch unstable ik verwacht mij aan zulke fouten. (om er dan ook ms maar even bij te nemen) XP heeft 2 varianten Home en Pro die voor (bijna) alles moeten dienen.(die keuzes is wat XP makkelijk maakt en wat Linux distro's kiezen zo moeilijk maakt)

MikeN
@zer0dev • 13 maart 2006 19:38

ubuntu is niet gericht op bedrijven ed. maar op familliaal gebruik.

Eh? Ubuntu is zelfs beter gecertificeerd dan bv. Debian op sommige gebieden.

SYQ
@Mars Warrior • 13 maart 2006 13:59

en gelijk een flamebait voor Mars Warrior hoor, terwijl ie absoluut gelijk heeft. teveel reacties hier die het willen goed praten

(hoewel killercow wel gelijk heeft wat betreft een maand wachten)

+1 80466

Software

13 maart 2006 10:32

Leukste comment op /.

What's the problem? Open source passwords make it more secure.

loodgieter
@80466 • 13 maart 2006 11:08

Ja leuk grapje,

maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.

Kortom vrij jammer dit.

voelen de linuxfanboys zich aangevallen ofzow zie hieronder..?

moto-moi
@loodgieter • 13 maart 2006 11:59

maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.

Volgens mij zijn de meeste mensen die windows gebruiken sowieso al 'root' kwa rechten, linux en andere *nix systemen doet dat juist niet. Dus je hele rant gaat nergens over

+2 Tuxs
@loodgieter • 13 maart 2006 11:21

Er werd niet luchtig over gedaan... Nu wel omdat het al opgelost is... like paar uur na bekendmaking..... Daarom word er luchtig over gedaan.

+2 cdhoestje
@loodgieter • 13 maart 2006 11:23

Bij microsoft bugs is 90% van de computergebruikers de pisang, niet verwonderlijk dat dan het geklaag luider klinkt. Ubuntu heeft een marktaandeel onder de 1% en is gratis.

0 PaddoSwam
@cdhoestje • 13 maart 2006 14:39

Wie betaalt er dan ook voor Windows? Ik niet iig

Dus voor mij is Windows ook gratis en dat maakt het nog niet een beter product hoor..

Alleen dat je een gegeven paard niet in de bek mag kijken ofzo..

RetepV
@loodgieter • 13 maart 2006 13:29

Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.

Why the hell is mijn reactie als flamebait weggemod? Dit is afgelopen jaar een paar keer *precies* zo gebeurd hoor. Niks geen flamebait. WERKELIJKHEID.

Over fanboy gedrag gesproken. Sjonge.

Edit:

Security bulletin MS02-056

Deze fout heeft bijna een JAAR in SQL Server gezeten voordat Microsoft het patchte. SQL Server 7.0 en SQL Server 2000 hadden er last van. Er zijn hele communities van scriptkiddies ontstaan die op die manier toegang konden verkrijgen tot systemen (onder andere één van de onze).

Edit2:

Nou, kijk, nou ben ik 'overbodig' gemod. Da's inderdaad zo. Het behoeft eigenlijk helemaal geen post om aan te geven waar Microsoft faalt ten opzichte van open source software.

loodgieter
@RetepV • 13 maart 2006 15:21

hap hap hap hap hap

en trouewens ik gebruik zowel linux als windows dus. mij maakt het niets uit.

RetepV
@loodgieter • 13 maart 2006 11:17

Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.

En dit is geen gelul, Microsoft heeft al vaker zo gehandeld.

Maar goed, dit zou inderdaad een kapitale blunder zijn, ware het niet dat Ubuntu toch al gratis was

blouweKip

Software

@loodgieter • 13 maart 2006 18:21

valt wel mee, bij windows heb je zoveel ergere exploits die ook nog eens langzamer gefixt worden dat dit niet eens nieuws zou zijn

0 Top-Rob
@loodgieter • 13 maart 2006 11:19

Linux kost je dan ook geen rib uit je lijf

Edit: sorry, RetepV was me voor

killercow
@loodgieter • 13 maart 2006 11:32

Check mijn andere comment op dit artikel:

http://www.tweakers.net/r...=Posting&ParentID=1571073

+1 kodak
13 maart 2006 10:35

Dit laat nmm het verschil tussen professionele distributies als RedHat en SuSE en de populaire nieuweling Ubuntu zien. Er ontbreekt een goed vorm van kwaliteitcontrole en het moet zich nog steeds bewijzen als betrouwbare distributie. Dit soort zaken moet je gewoon serieus nemen, en niet alleen achteraf snel iets recht kunnen zetten.

+2 Treenaks
@kodak • 13 maart 2006 10:49

Er is wel degelijk kwaliteitscontrole, maar hier is gewoon overheen gekeken. Mensenwerk enzo. Waar gehakt wordt vallen spaanders.

Elke distributie, en elk OS heeft wel eens een grote security-uitglijder.. kan gebeuren, hoeveel QA je ook doet.

+2 kodak
@Treenaks • 13 maart 2006 19:28

Dat is wel de makkelijkste uitweg om het voorval recht te praten. Natuurlijk, waar gehakt wordt vallen spaanders, maar bij deze fout is er een in de orde van "kan alleen voorkomen als de kwaliteitcontrole rond beveiliging niet hoog genoeg is". Geen enkele gerenomeerde distributie zou deze fout in zich kunnen hebben op de manier waarop ze gecontroleerd worden voordat er een release plaats vind.

+1 krpors
@kodak • 13 maart 2006 10:49

DIT laat het verschil zien tussen de distributies? Kap nou even.

+2 kodak
@krpors • 13 maart 2006 19:35

Je kan het misschien niet leuk vinden maar dit voorval laat nmm inderdaad het verschil zien. Je denkt er kennelijk anders over, maar kom dan op zijn minst met een tegenargument.
Linux distrubuties die goed met beveiliging en kwaliteit bezig zijn halen dit soort programmeer blunders er bij het ontwikkelen en testen al uit. Niet omdat ze geen blunders maken maar omdat die distributies veel strengere kwaliteitseisen hebben. Er zit helaas een behoorlijk verschil in manier van ontwikkelen.

+1 Treenaks
13 maart 2006 10:50

Daarbij, als je je password gewoon eens in de zoveel tijd verandert (en dat doe je toch? en je gebruikt 1 password toch niet op meerdere machines?), zal het password in die logfile niet meer kloppen met je huidige password -- probleem ook uit de wereld.

+2 BartOtten
@Treenaks • 13 maart 2006 15:14

En met die instelling krijgen we de massa wel aan de Linux-desktop

.

"Gewoon even een configje aanpassen met vim mevrouw, even de console induiken dan is het zo gepiept"

0 BartOtten
13 maart 2006 13:20

We kunnen als Linux-ers veel zeggen maar ik denk inderdaad: als dit MS was geweest dan waren de flames uit de lucht komen vallen en nu doen we erg relaxed.

Dit is gewoon een heel erg stomme fout.

JapyDooge
@BartOtten • 13 maart 2006 14:36

Zoals hierboven ergens al genoemd, microsoft heeft eens dezelfde fout gemaakt en die een jaar ongepatcht gelaten

Dan vind ik deze paar uurtjes na ontdekking (bij toeval door een beginnertje nog wel

) dat de patch er al is, best mooi werk

+1 Pietje Puk
@JapyDooge • 13 maart 2006 14:54

Hoewel het wachtwoord van een SQL Server openbaar maken ook niet netjes is, ben je dan nog geen "root" voor het hele systeem. Toch een verschil

Daarnaast, had men bij Ubuntu dus kunnen leren uit de fouten van Microsoft. En dat heeft men niet gedaan.

De stommiteit van Ubuntu is dus een stukje groter dan die van Microsoft. Dus inderdaad, waar blijven de flames

JapyDooge
@Pietje Puk • 13 maart 2006 14:57

(ik flame natuurlijk niet, ik draai zelf ubuntu

)

Maar idd, de fout is groter

Gelukkig snel gefixed wat ik netjes opgelost vind

Overal worden fouten gemaakt, ook bij Microsoft. Het verschil is dat ze er bij Microsoft voor worden betaald

0 BartOtten
@JapyDooge • 13 maart 2006 15:11

Dat is goedpraten aan het eind. Als MS zo'n lek heeft en ze repareren het binnen een uur dan rolt ook iedereen over elkaar om te zeggen hoe stom het is.

We kunnen wel blijven roepen: Maar in Linux* wordt het snel gepatched, maar daar word niemand beter van. Ze moeten er gewoon niet zijn en zeker niet zulke STOMME fouten.

et verschil is dat ze er bij Microsoft voor worden betaald

En Ubuntu heeft geen vaste ontwikkelaars in dienst? Of bedoelde je de klant? Lijkt me sterk dat bedrijven Ubuntu gratis krijgen (jajaja, ze betalen voor support)

*ik weet het ik maak het even wat algemeen.

Auteur +1

Martin Sturm
@BartOtten • 13 maart 2006 15:52

Dit is zondermeer een stomme fout, en hij wordt derhalve ook ruim in de media uitgemeten. Ik denk dat wanneer dit bij Windows optreed mensen zich sneller aangevallen voelen dan wanneer het bij Linux optreed; ik denk niet dat de kritiek minder is eerlijk gezegd.
Ubuntu-ontwikkelaars worden in sommige gevallen betaald; er werken namelijk ook veel vrijwillgers aan, maar een aantal zijn in dienst van Canonical (het bedrijf van Mark Shuttleworth).
Overigens krijgen bedrijven Ubuntu echt gratis, een van de 'regels' van Ubuntu is dat het te alle tijden gratis beschikbaar zal zijn. Bij Red Hat is dit in principe niet zo, daar moet je wel betalen voor de binaries/installatiecd's (tenzij je een gratis alternatief zoals CentOS gebruikt, maar dat is geen officiele Red Hat distributie). Er is ook support beschikbaar voor Ubuntu, en daar moeten bedrijven uiteraard voor betalen (consumenten ook overigens, tenzij ze voldoende hebben aan wiki's, mailinglists en fora).

+1 BartOtten
@BartOtten • 13 maart 2006 16:16

Dat bedoelde ik, maar ik vind niet dat je dan kan zeggen dat er niet voor betaald word. Nee, je betaald als je het strak bekijkt niet voor de software maar voor de service. Je betaald voor kwaliteit en stabiliteit en veiligheid en of dat nu betaald word vanwege het pakketje of vaanwege de support maakt een bedrijf geen zak uit.

"Bij microsoft worden ze er voor betaald" vind ik dus een slechte 'tegenoverzetter'

sus
13 maart 2006 10:20

Is dit alleen van toepassing op Ubuntu, of is ook Kubuntu hierdoor getroffen.

schnitzelcore
@sus • 13 maart 2006 10:32

Ja, Kubuntu ook. Op het Ubuntu forum wordt trouwens ook gezegd dat de fout niet tijdens iedere install optreedt, dus grep even om te zien of jouw machine het probleem heeft of niet als je het echt zeker wilt weten.

+1 jpwaag
@sus • 13 maart 2006 10:36

Het gaat om de pakketen base-config, login, en passwd. Die zijn voor alle (x|ed|k)ubuntus hetzelfde. die worden dus ook getroffen

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Veiligheidsfout Ubuntu onthult password

Lees meer

Reacties (77)

Sorteer op:

Weergave: