Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Bron: Ubuntu

Een gebruiker van de Linux-distributie Ubuntu heeft gisteren ontdekt dat het installatieprogramma van de distributie de gebruikersnaam en het wachtwoord van de eerste gebruiker die tijdens de installatie wordt aangemaakt in plaintext opslaat in een logbestand. Dit logbestand is echter voor elke gebruiker te lezen, zelfs voor gebruikers met minimale rechten op het systeem. Het gevolg hiervan is dat iedereen die toegang heeft tot het systeem eenvoudig root-rechten kan verkrijgen.

Ubuntu cdDe fout heeft betrekking op de laatste actuele versie van de distributie die de naam 'Breezy Badger' en versienummer 5.10 heeft. De komende versie, 'Dapper Drake', heeft het probleem niet, en ook de oudere versies van de distributie, 'Hoary Hedgehog' en 'Warty Warthog' worden niet getroffen door dit veiligheidsprobleem. De eerste gebruiker die door het installatieprogramma van Ubuntu wordt aangemaakt heeft ook rechten om via 'sudo' programma's uit te voeren, waardoor het mogelijk is om alle handelingen die de root-gebruiker uit kan voeren, kunnen worden uitgevoerd zonder eerst in te loggen als 'root'. Hierdoor is de impact op de veiligheid van het systeem van deze bug tamelijk groot. Het wachtwoord dat tijdens de installatieprocedure wordt ingevoerd wordt opgeslagen in twee bestanden, namelijk 'var/log/installer/cdebconf/questions.dat' en '/var/log/debian-installer/cdebconf/questions.dat'.

Een eenvoudige en snelle oplossing voor het probleem is het verwijderen van deze twee bestanden, of de rechten aan te passen zodat alleen de root-gebruiker de bestanden kan lezen. Uiteraard is het aan te raden om hierna het password van de eerste gebruiker die is aangemaakt te veranderen, indien dat nog hetzelfde wachtwoord is wat ook in de bestanden wordt genoemd. De bug, die gisteren is ontdekt, is dezelfde dag nog opgelost door de ontwikkelaars van het besturingssysteem. Deze hebben inmiddels een bugreport gepubliceerd waarin wordt bekendgemaakt dat er nieuwe versies van de programma's 'base-config' en 'passwd' beschikbaar zijn, die tevens het password uit de gewraakte bestanden verwijderen en de files alleen leesbaar maken voor root. Systemen die Ubuntu draaien krijgen automatisch de melding dat de update beschikbaar is en kan worden geïnstalleerd.

Moderatie-faq Wijzig weergave

Reacties (77)

De automatische update functie patcht dit direkt door leesrechten in te trekken voor iedereen behalve root.
Leuk als je er een webserver op draait. Heb het er toch al nooit wat voor gevonden... eerder simpel een Linux server draaien omdat je je Desktop ook op die manier kent :z
Volgens mij snap jij het verschil niet tussen een local root exploit en een remote root exploit. Dit is puur een local exploit, dus als iedereen die op die bak kunnen al sudo rechten hebben is er eigenlijk niets aan de hand behalve dat het niet 'netjes' is. Een webserver zal nooit buiten z'n webroot mogen komen, dus het enige probleem wat je dan hebt is dat de webserver misschien via php deze files opent. Dus shared hosting (zonder login) zullen zich ook zorgen dienen te maken.

Verder zat in 2.6 op een gegeven moment ook een local root exploit, het is alleen slordig, maar zolang er nog steeds gebruikers zijn die hun wachtwoorden op hun computer post-itten, is dit niet het meest vreselijke wat er kan gebeuren ;)
@moto-moi: Ik weet dat je system admin bent bij Tweakers.net maar ik wil je toch zeggen dat een goed geconfigureerde PHP niet buiten zijn vhost komt. Ik heb ze zo gesetupt dat ze niet buiten hun dir komen. PHP weigert dat gewoon...

Voor de rest idd, alleen local exploit. Dat andere gebruikers op de PC root access kunnen krijgen...
Soms heb je dat alleen nodig omdat je devvers wat raars verzinnen ;) Verder wil je ook niet dat je wachtwoorden binnen je vhost staan, ongeacht of je .htaccess files gebruikt of niet :)
Het feit dat het een local root exploit is, is leuk maar natuurlijk van ondergeschikt belang. Je zal niet de eerste zijn die gehacked wordt doordat men eerst onder de naam van een slordige medewerker binnenkomt en dan via een local root exploit het systeem overneemt. En dan vergeet ik even dat eigen medewerkers ook wel eens willen hacken.

Een local root exploit is dus vanuit veiligheidsoogpunt net zo'n ramp als een remote root exploit. De manier waarop het gebruikt kan worden is anders, maar elke root exploit dient zo spoedig mogelijk gedicht te worden.
Ja, al zou je dat doen. Apache (of andere webserver) mag niet in die directory's komen. Als je een webserver draait hoop ik dat ie alleen in de wwwdocs blijft...
Leuk bedacht, maar het is nog niet zo dat PHP en CGI scripts overal beperkte rechten hebben.
Als je PHP draait icm met Apache, dan wordt PHP uitgevoerd 'in' of 'onder' Apache en met dezelfde rechten als Apache. Als je je systeem ook maar een beetje goed hebt ingesteld, kan Apache nergens bij waar die niet moet, en dus PHP ook niet.
@t0maz: Je draait om het probleem heen. Het gaat er niet om wat je kan instellen maar waarmee het onveilig is. Je kan Apache nog zoveel onder een bepaalde uid en groeprechten laten draaien, je kan met die rechten standaard het wachtwoord uitlezen uit de world readable file waar het in staat.
Ze worden anders wel gejailed.
Dus lijkt mij logisch dat je geen noob scripts op je server hebt :)
Het lijkt me ook dat deze bug in Kubuntu 5.10 zit (de distro die ik zelf gebruik) of niet? Kubuntu is gewoon Ubuntu maar dan KDE desktop ipv gnome.
klopt, Ik draai hier Ubuntu met een KDE schilletje en dat heeft inderdaad last van deze 'bug'.
zover ik weet en op de ubuntu website staat is er niet zoiets als een apparte installatie CD voor Kubuntu. Dus ja kubuntu heeft hier ook al last van.

Alleen zo gauw je de eerste online update gedraaid hebt is het probleem alweer opgelost. Zoals iemand iets verder op ook vertelt.
Dr is wel gewoon een apare cd voor kubuntu: http://kubuntu.org/download.php
En Kubuntu is niet gewoon Ubuntu met een KDE schilletje. Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.
En Kubuntu is niet gewoon Ubuntu met een Gnome schilletje.
Inderdaad, tis een Ubuntu met KDE :+
Het een en ander aan de config-programma's in Kubuntu is nieuwer dan in Ubuntu.
Het lijkt me sterk dat het nieuwer is, het kan wel anders zijn dan in Ubuntu, maar ze zullen denk ik niet een andere versie van een programma in Kubuntu gooien dan in Ubuntu.
apt-get install kubuntu-desktop?
Wat ik bedoelde was dat de grafische configuratieprogramma's van ubuntu ouder zijn dan die van kubuntu, en dus beter doorontwikkeld.

Bijv. de programma's guidance en adept van kubuntu zijn vrij nieuw, en op bepaalde fronten nog niet uitgekristalliseerd. (zo zijn ze momenteel niet te vertalen in het nederlands..)

(domme typo van mij net)
Op geen van alle 19 systemen met Ubuntu 5.10 (clean install van de 5.10 CD) die ik in mijn beheer heb, heb ik het probleem aangetroffen.
Ik weet dus niet wat de impact is van deze fout, het lijkt me niet dat per definitie alle 5.10 systemen onveilig zijn geworden.
Sowieso kan 'apt-get update && apt-get dist-upgrade' nooit kwaad om te doen :Y)
Hier ook geen wachtwoord te vinden in die questions.dat, en dat bestand is niet door een update gewijzigd (ieg niet na 3-10-2005), tenzij de datum daarbij behouden is.

Niettemin is het wel een beetje een slordig foutje.
Idem hier,
niet te vinden en de files zijn niet geupdate in maanden..

Het is volgens mij een bug die lang niet overal terug te vinden is..
Niet zo flamen vent....

Bij MS zouden we een maand moeten wachten op de volgende patch dinsdag, en jah MS heeft dit ook al eens gehad:

Quote:
If it was relvealed that the local Administrator account or the domain Administrator account was stored anywhere as plain text in Windows 2000, XP, or 2003, then MS would be reamed endlessly and very harshly here.

Interestingly enough Microsoft did make pretty much the same mistake, with Microsoft SQL 7, both servicepack 1 & 2. They wrote the SQL administrator password to the installation log file, which would give you full access to any SQL database on the server. Written to a logfile in the TEMP folder, which by default has full read/write access for ANY user on the system.

Security bulletin: https://www.microsoft.com/technet/security/bulleti n/MS00-035.mspx \[microsoft.com]

(The 'non-recommended' mode mentioned is using SQL authentication instead of windows NTLM authentication, which much more common then they try to make it sound)

En die fout was er meer dan een JAAR! (nadat ze het volgens hen gefixed hadden.)

Die paar uurtjes die Ubuntu er over gedaan heeft zijn dus peanuts.
Misch licht het aan mij maar bij MS was dit ook niet zo'n grote fout.

1 bij reboot van je systeem laat je altijd je TMP files weggooien
2 als je systeem niet reboot dan laat je de machine 1x per dag, week of maand ff de TMP files weggooien.
3 als beheerder moet je ook 1x in de x tijd je wachtwoord veranderen voor secure computing.

tata probleem is dus ook opgelost.
De fout zit dan ook niet in Linux; maar in een slechte implementatie van de Ubuntu installer. Dus hoezo minder geflame dan op een MS-based OS?
Dikke +4 inzichvol verdient. Ben zelf groot Linux-fan maar ben wel reeel genoeg om te zeggen dat veel fans een grote roze bril op hebben als het om Linux gaat. Je kan ook maar 5% van de Linux-fansites gebruiken, voor opinievorming, om die reden.

De mensen die Mars flamebait meegeven bevestigen de Inzichtvolheid maar weer :D

Flamen is iemand afbranden (ow daarom dat woord), de vinger op de zere plek leggen en mensen indirect oproepen na te denken voor ze posten is iets heeeeeel anders.
ik geef grif toe dat dit een fout is die niet door de beugel kan. maar je moet ook wel ergens een onderscheid maken in linux distributies. ubuntu is niet gericht op bedrijven ed. maar op familliaal gebruik. dat je vader die niets van computers afweet de mogelijk had om root te worden... niet echt erg.

debian(stable) word zeer zwaar getest op zulke dingen en bij deze distributie durf ik zeggen ga je dit soort zaken niet tegen komen. Ik zelf draai arch unstable ik verwacht mij aan zulke fouten. (om er dan ook ms maar even bij te nemen) XP heeft 2 varianten Home en Pro die voor (bijna) alles moeten dienen.(die keuzes is wat XP makkelijk maakt en wat Linux distro's kiezen zo moeilijk maakt)
ubuntu is niet gericht op bedrijven ed. maar op familliaal gebruik.
Eh? Ubuntu is zelfs beter gecertificeerd dan bv. Debian op sommige gebieden.
en gelijk een flamebait voor Mars Warrior hoor, terwijl ie absoluut gelijk heeft. teveel reacties hier die het willen goed praten

(hoewel killercow wel gelijk heeft wat betreft een maand wachten)
Leukste comment op /.
What's the problem? Open source passwords make it more secure.
Ja leuk grapje, |:(

maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.

Kortom vrij jammer dit.

voelen de linuxfanboys zich aangevallen ofzow zie hieronder..?
maar als dit bij een microsoft product was dan brak de hel los. En nu word er weer zo luchtig over gedaan.
Volgens mij zijn de meeste mensen die windows gebruiken sowieso al 'root' kwa rechten, linux en andere *nix systemen doet dat juist niet. Dus je hele rant gaat nergens over ;)
Er werd niet luchtig over gedaan... Nu wel omdat het al opgelost is... like paar uur na bekendmaking..... Daarom word er luchtig over gedaan.
Bij microsoft bugs is 90% van de computergebruikers de pisang, niet verwonderlijk dat dan het geklaag luider klinkt. Ubuntu heeft een marktaandeel onder de 1% en is gratis.
Wie betaalt er dan ook voor Windows? Ik niet iig :P

Dus voor mij is Windows ook gratis en dat maakt het nog niet een beter product hoor..

Alleen dat je een gegeven paard niet in de bek mag kijken ofzo..
Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.
Why the hell is mijn reactie als flamebait weggemod? Dit is afgelopen jaar een paar keer *precies* zo gebeurd hoor. Niks geen flamebait. WERKELIJKHEID.

Over fanboy gedrag gesproken. Sjonge. |:(

Edit:

Security bulletin MS02-056

Deze fout heeft bijna een JAAR in SQL Server gezeten voordat Microsoft het patchte. SQL Server 7.0 en SQL Server 2000 hadden er last van. Er zijn hele communities van scriptkiddies ontstaan die op die manier toegang konden verkrijgen tot systemen (onder andere één van de onze).

Edit2:

Nou, kijk, nou ben ik 'overbodig' gemod. Da's inderdaad zo. Het behoeft eigenlijk helemaal geen post om aan te geven waar Microsoft faalt ten opzichte van open source software. :*)
hap hap hap hap hap :Z

en trouewens ik gebruik zowel linux als windows dus. mij maakt het niets uit.
Het hele probleem wat jij schijnt te missen is dat als Microsoft dit zou overkomen, ze het eerst 2 maanden zouden ontkennen en pas een patch uit zouden brengen wanneer de vinder van de bug alle details openlijk op het internet zou zetten.

En dit is geen gelul, Microsoft heeft al vaker zo gehandeld.

Maar goed, dit zou inderdaad een kapitale blunder zijn, ware het niet dat Ubuntu toch al gratis was :).
valt wel mee, bij windows heb je zoveel ergere exploits die ook nog eens langzamer gefixt worden dat dit niet eens nieuws zou zijn
Linux kost je dan ook geen rib uit je lijf :7

Edit: sorry, RetepV was me voor
Dit laat nmm het verschil tussen professionele distributies als RedHat en SuSE en de populaire nieuweling Ubuntu zien. Er ontbreekt een goed vorm van kwaliteitcontrole en het moet zich nog steeds bewijzen als betrouwbare distributie. Dit soort zaken moet je gewoon serieus nemen, en niet alleen achteraf snel iets recht kunnen zetten.
Er is wel degelijk kwaliteitscontrole, maar hier is gewoon overheen gekeken. Mensenwerk enzo. Waar gehakt wordt vallen spaanders.

Elke distributie, en elk OS heeft wel eens een grote security-uitglijder.. kan gebeuren, hoeveel QA je ook doet.
Dat is wel de makkelijkste uitweg om het voorval recht te praten. Natuurlijk, waar gehakt wordt vallen spaanders, maar bij deze fout is er een in de orde van "kan alleen voorkomen als de kwaliteitcontrole rond beveiliging niet hoog genoeg is". Geen enkele gerenomeerde distributie zou deze fout in zich kunnen hebben op de manier waarop ze gecontroleerd worden voordat er een release plaats vind.
DIT laat het verschil zien tussen de distributies? Kap nou even.
Je kan het misschien niet leuk vinden maar dit voorval laat nmm inderdaad het verschil zien. Je denkt er kennelijk anders over, maar kom dan op zijn minst met een tegenargument.
Linux distrubuties die goed met beveiliging en kwaliteit bezig zijn halen dit soort programmeer blunders er bij het ontwikkelen en testen al uit. Niet omdat ze geen blunders maken maar omdat die distributies veel strengere kwaliteitseisen hebben. Er zit helaas een behoorlijk verschil in manier van ontwikkelen.
Daarbij, als je je password gewoon eens in de zoveel tijd verandert (en dat doe je toch? en je gebruikt 1 password toch niet op meerdere machines?), zal het password in die logfile niet meer kloppen met je huidige password -- probleem ook uit de wereld.
En met die instelling krijgen we de massa wel aan de Linux-desktop :Y).

"Gewoon even een configje aanpassen met vim mevrouw, even de console induiken dan is het zo gepiept"
We kunnen als Linux-ers veel zeggen maar ik denk inderdaad: als dit MS was geweest dan waren de flames uit de lucht komen vallen en nu doen we erg relaxed.

Dit is gewoon een heel erg stomme fout.
Zoals hierboven ergens al genoemd, microsoft heeft eens dezelfde fout gemaakt en die een jaar ongepatcht gelaten :P
Dan vind ik deze paar uurtjes na ontdekking (bij toeval door een beginnertje nog wel |:( ) dat de patch er al is, best mooi werk :Y)
Hoewel het wachtwoord van een SQL Server openbaar maken ook niet netjes is, ben je dan nog geen "root" voor het hele systeem. Toch een verschil

Daarnaast, had men bij Ubuntu dus kunnen leren uit de fouten van Microsoft. En dat heeft men niet gedaan.

De stommiteit van Ubuntu is dus een stukje groter dan die van Microsoft. Dus inderdaad, waar blijven de flames :)
(ik flame natuurlijk niet, ik draai zelf ubuntu :P)

Maar idd, de fout is groter :) Gelukkig snel gefixed wat ik netjes opgelost vind :) Overal worden fouten gemaakt, ook bij Microsoft. Het verschil is dat ze er bij Microsoft voor worden betaald :+
Dat is goedpraten aan het eind. Als MS zo'n lek heeft en ze repareren het binnen een uur dan rolt ook iedereen over elkaar om te zeggen hoe stom het is.

We kunnen wel blijven roepen: Maar in Linux* wordt het snel gepatched, maar daar word niemand beter van. Ze moeten er gewoon niet zijn en zeker niet zulke STOMME fouten.
et verschil is dat ze er bij Microsoft voor worden betaald
En Ubuntu heeft geen vaste ontwikkelaars in dienst? Of bedoelde je de klant? Lijkt me sterk dat bedrijven Ubuntu gratis krijgen (jajaja, ze betalen voor support)

*ik weet het ik maak het even wat algemeen.
Dit is zondermeer een stomme fout, en hij wordt derhalve ook ruim in de media uitgemeten. Ik denk dat wanneer dit bij Windows optreed mensen zich sneller aangevallen voelen dan wanneer het bij Linux optreed; ik denk niet dat de kritiek minder is eerlijk gezegd.
Ubuntu-ontwikkelaars worden in sommige gevallen betaald; er werken namelijk ook veel vrijwillgers aan, maar een aantal zijn in dienst van Canonical (het bedrijf van Mark Shuttleworth).
Overigens krijgen bedrijven Ubuntu echt gratis, een van de 'regels' van Ubuntu is dat het te alle tijden gratis beschikbaar zal zijn. Bij Red Hat is dit in principe niet zo, daar moet je wel betalen voor de binaries/installatiecd's (tenzij je een gratis alternatief zoals CentOS gebruikt, maar dat is geen officiele Red Hat distributie). Er is ook support beschikbaar voor Ubuntu, en daar moeten bedrijven uiteraard voor betalen (consumenten ook overigens, tenzij ze voldoende hebben aan wiki's, mailinglists en fora).
Dat bedoelde ik, maar ik vind niet dat je dan kan zeggen dat er niet voor betaald word. Nee, je betaald als je het strak bekijkt niet voor de software maar voor de service. Je betaald voor kwaliteit en stabiliteit en veiligheid en of dat nu betaald word vanwege het pakketje of vaanwege de support maakt een bedrijf geen zak uit.

"Bij microsoft worden ze er voor betaald" vind ik dus een slechte 'tegenoverzetter'
Is dit alleen van toepassing op Ubuntu, of is ook Kubuntu hierdoor getroffen.
Ja, Kubuntu ook. Op het Ubuntu forum wordt trouwens ook gezegd dat de fout niet tijdens iedere install optreedt, dus grep even om te zien of jouw machine het probleem heeft of niet als je het echt zeker wilt weten.
Het gaat om de pakketen base-config, login, en passwd. Die zijn voor alle (x|ed|k)ubuntus hetzelfde. die worden dus ook getroffen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True