Een gebruiker van de Linux-distributie Ubuntu heeft gisteren ontdekt dat het installatieprogramma van de distributie de gebruikersnaam en het wachtwoord van de eerste gebruiker die tijdens de installatie wordt aangemaakt in plaintext opslaat in een logbestand. Dit logbestand is echter voor elke gebruiker te lezen, zelfs voor gebruikers met minimale rechten op het systeem. Het gevolg hiervan is dat iedereen die toegang heeft tot het systeem eenvoudig root-rechten kan verkrijgen.
De fout heeft betrekking op de laatste actuele versie van de distributie die de naam 'Breezy Badger' en versienummer 5.10 heeft. De komende versie, 'Dapper Drake', heeft het probleem niet, en ook de oudere versies van de distributie, 'Hoary Hedgehog' en 'Warty Warthog' worden niet getroffen door dit veiligheidsprobleem. De eerste gebruiker die door het installatieprogramma van Ubuntu wordt aangemaakt heeft ook rechten om via 'sudo' programma's uit te voeren, waardoor het mogelijk is om alle handelingen die de root-gebruiker uit kan voeren, kunnen worden uitgevoerd zonder eerst in te loggen als 'root'. Hierdoor is de impact op de veiligheid van het systeem van deze bug tamelijk groot. Het wachtwoord dat tijdens de installatieprocedure wordt ingevoerd wordt opgeslagen in twee bestanden, namelijk 'var/log/installer/cdebconf/questions.dat' en '/var/log/debian-installer/cdebconf/questions.dat'.
Een eenvoudige en snelle oplossing voor het probleem is het verwijderen van deze twee bestanden, of de rechten aan te passen zodat alleen de root-gebruiker de bestanden kan lezen. Uiteraard is het aan te raden om hierna het password van de eerste gebruiker die is aangemaakt te veranderen, indien dat nog hetzelfde wachtwoord is wat ook in de bestanden wordt genoemd. De bug, die gisteren is ontdekt, is dezelfde dag nog opgelost door de ontwikkelaars van het besturingssysteem. Deze hebben inmiddels een bugreport gepubliceerd waarin wordt bekendgemaakt dat er nieuwe versies van de programma's 'base-config' en 'passwd' beschikbaar zijn, die tevens het password uit de gewraakte bestanden verwijderen en de files alleen leesbaar maken voor root. Systemen die Ubuntu draaien krijgen automatisch de melding dat de update beschikbaar is en kan worden geïnstalleerd.