Foi encontrado uma falha crítica no Ubuntu Breezy (5.10), apos a instalação, e guardado a password do user criado nos logs de instalação. Este bug foi detectado por um user do forum do ubuntu.

A password que é guardada, tem por defeito acesso ao sudo, o que é tão mau como a de root (que está desactivado por defeito).

A falha encontra-se tanto nas versões do Ubuntu como do Kubuntu. e os logs de instalação está disponível a todos os utilizadores dessa maquina.

A password é guardada nestes ficheiros:

/var/log/installer/cdebconf/questions.dat
var/log/debian-installer/cdebconf/questions.dat

A falha é facilmente detectada fazendo uma rapida procura com este comando: (alterando a palavra sudopassword pela a pass de sudo.

grep -r sudopassword /var


A falha já foi reportada ao sistema de Bugs e já foi classificada como Crítica, e é possível que muito brevemente seja disponibilizado o patch de segurança. Entretando é também possível apagar esses dois logs (tem de ter acesso ao sudo para apagar).

Nota: A falha não está presente no Ubuntu Dapper (6.04), mas estará se tiver feito upgrade ao Breezy.

É realmente crítica!

A mim não faz grande diferença, sou utilizador único, e mesmo que não fosse não tinha problemas...

Mas pensem: e se fosse uma coisa semelhante mas no Windows?

Era o descalabro!!!!!!

Isto pode ter consequências graves na credibilidade do Ubuntu......

bem, é simples falha, que é facilmente corrigida modificando a password.

claro que causa duvidas aos utilizaodres, mas tem de se ter em conta que nenhum sistema é perfeito. felizmente o dapper flight 5 e anteriores não têm esta falha, mesmo antes de ser descoberta, mas que instalar o dapper pelo breezy, tem de ter cuidado.

roubar a root de algum é fácil, mas assim qualquer um consegue

n é suposto o ubunto ser o linux para seres humanos? tem de ter falhas à altura dos seres a k se destina

fora de brincadeiras... é grave k xegue mas axo k nem é preciso nenhum patch! basta o utilizador saber apagar ficheiros e ja n se põe o problema.

n entendo o proposito do log do sistema gravar a dita password... ke k será k ia na cabeça de quem lhe deu tal funcionalidade?!?!?

Eu n estou a ver um 'Linux para seres humanos' a terem k obrigar o 'ser humano' a apagar um ficheiro por questão de segurança...

Pelo contrário, um patch é mais que obrigatório.

n é mto simpático para o utilizador que lhe seja pedido que corrija bugs do sistema! mas apagar um ficheiro n é nada do outro mundo e o interesse é todo do próprio.

patch pra apagar o ficheiro tb n faz mto sentido... só se for para impedir que a pass seja logada.

és capaz de ter razão

o patch remove este ficheiro e todos os que possam causar problemas de segurança.

Não sei qual é o alarido, tal como qualquer outro software é feito por humanos é passivel de ter erros, é so uma questão de tempo até lançarem a patch estou certo que pouco tempo levará. Se fosse uma falha do windows nem se fazia alarido... e esse sim é que representa uma grande ameaça para o utilizador...

já existe um patch. não sei qual é o espanto, o linux tb tem erros, é falível, mas poucos são tão garves como este. um bug no windows já nem dá motivo a cerca de 500 pessoas a verem os detalhes de um bug (aconteceu isto no ubuntuforums).

assim n resolve a falha de segurança! um atacante pode tentar ler a dita pass no intervalo entre ela ser logada e removida.


a diferença nos sistemas abertos é k os erros podem ser descobertos por inspeção e n necessáriamente por teres sido atacado!!

e depois ha varios tipos de erros.... mas logar uma password com acesso ao sudo?? n axam k é dar um tiro no pé?
mas pronto tb n morre ninguém!