[Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

AlexandreP · Le 13/03/2006, à 01:43

Pour ceux qui n'auraient pas lu le bogue #34606: le mot de passe de l'utilisateur créé durant l'installation de Ubuntu est conservé de façon non cryptée dans le fichier /var/log/installer/cdebconf/questions.dat ! Ceci est potentiellement un risque de sécurité.

Des utilisateurs rapportent que le problème est présent sur des installations fraîches de Breezy, de même que les versions Flight et daily de Dapper fraîchement installées avant le 13 mars 2006. (Cette faille ne touche pas Warty et Hoary, les systèmes en Breezy dist-upgradés depuis Warty et Hoary, et Dapper pour les versions daily ultérieures au 12 mars 2006.)

Dans /var/log/installer/cdebconf/questions.dat, aux lignes 2133 à 2147, on peut lire:

Name: passwd/user-fullname
Template: passwd/user-fullname
Value: [mon nom]

Name: passwd/user-password
Template: passwd/user-password
Value: [mon mot de passe]

Name: passwd/user-password-again
Template: passwd/user-password-again
Value: [mon mot de passe]

Name: passwd/username
Template: passwd/username
Value: [mon identifiant]

Si vous utilisez Breezy installé depuis un cd-rom d'installation, vérifiez donc cela. Veillez à appliquer les correctifs de sécurité publiés. Un correctif aura été publié tard le 12 mars ou tôt le 13 mars (dépendement d'où vous vivez ).

À ce que je comprends, ce fichier est utilisé lors de l'installation de Ubuntu, il serait donc inutile une fois que l'installation est terminée (sinon pour aider au débogage si des problèmes sont survenus durant l'installation). Par précaution, certains préfèrent simplement enlever les droits de lecture du fichier:

$ sudo chmod 700 /var/log/installer/cdebconf/questions.dat

Personnellement, je l'ai simplement supprimé.

$ sudo rm -rf /var/log/installer/cdebconf/questions.dat

Dernière modification par AlexandreP (Le 13/03/2006, à 08:30)

quelqu'un · Le 13/03/2006, à 04:45

Par défaut les droits chez moi 600 (lecture et ecriture seulement pour le root) en quoi c'est dangereux si pour acceder au dossier contenant le mdp root faut être le root ?

lateo · Le 13/03/2006, à 05:14

en ce qui me concerne (breezy) ya keudalle, pa ni mot de passe.

quelqu'un · Le 13/03/2006, à 05:23

Je n'avais pas regardé mais je n'ai pas de mot de passe non plus

Voilà le contenu du fichier :

Name: passwd/user-fullname
Template: passwd/user-fullname
Value: [mon nom]
Name: passwd/user-password
Template: passwd/user-password
Value: [mon mot de passe]
Name: passwd/user-password-again
Template: passwd/user-password-again
Value: [mon mot de passe]
Name: passwd/username
Template: passwd/username
Value: [mon identifiant]

Les lignes en gras sont absentes

AlexandreP · Le 13/03/2006, à 08:15

Pourtant, il semble que ce problème ne soit pas arrivé qu'à moi

Si le fichier a le mode 600, il n'y a pas de problème, seul root peut l'ouvrir et le lire. Chez moi, j'ai pu lire le fichier en tant qu'utilisateur normal, ce qui est un risque de sécurité.

Vous avez essayé de faire une recherche avec votre mot de passe en tant que critère dans le fichier, voir si celui-ci s'y trouve?

[+] Emil Oppeln-Bronikowski rapporte que sa Hoary dist-upgradée n'a pas ce problème. En fait, cela ne semble pas toucher Hoary et Warty (et les Breezy mises à niveau avec apt-get dist-upgrade).

[++] Un patch semble avoir été publié tard le 12 mars (ou très tôt le 13 mars, dépendement d'où vous vivez). http://www.ubuntu.com/usn/usn-262-1

Dernière modification par AlexandreP (Le 14/03/2006, à 07:54)

morphee37 · Le 13/03/2006, à 08:37

j'ai fait la verification immédiatement et effectivement mon mot de passe est en clair j'ai donc passé le fichier avec les droit de lecture uniquement pour root est le probléme est réglé.

cep_ · Le 13/03/2006, à 09:40

Ou éditer le fichier :
sudo nano -w /var/log/installer/cdebconf/questions.dat
et enlever le mot de passe ou le remplacer par des xxx.

eldadou38 · Le 13/03/2006, à 10:45

Pas de mot de passe en clair pour moi dans ce fichier

Black_pignouf · Le 13/03/2006, à 10:54

Installé via le CD Breezy il y a quelques mois + toutes les mises à jour :

le fichier est bien présent, lisible par n'importe qui, et contient le mot de passe.
J'applique le correctif et voit si ca a changé quelque chose.

Au fait, comment se tenir au courant des mises à jour sous Kubuntu?

modif : le fichier est passé en 600 pour root.

Dernière modification par Black_pignouf (Le 13/03/2006, à 10:55)

cep_ · Le 13/03/2006, à 11:03

Qu'il soit en 600 ou autre, aucune importance.

Il n'est pas difficile d'éditer ce fichier (inutile d'en résumer les méthodes ).

Le mot de passe n'a pas à être en clair dans un fichier. Donc, pour ne pas se priver de ce fichier de log qui contient des informations qui peuvent éventuellement être indépendantes, le plus simple est encore de supprimer le mot de passe sur les deux lignes où il est écrit en non crypté.

Petit Scarabé · Le 13/03/2006, à 11:04

tout pareil

mesmento · Le 13/03/2006, à 12:32

Moi non plus je n'ai pas ce problème, et il faut le mdp pour accéder au fichier. Mais hier (12 mars) il y a une mise à jour, c'était certainement le corrrectif en question.

i M@N · Le 13/03/2006, à 12:55

Hello !

impressionnant ... la faille existait encore hier tard vers 0.00 et à 2.00 ce matin (heure à laquelle j'ai fait une mise à jour) on avait le correctif une dizaine d'heures après sa découverte d'après ce que j'ai lu sur le forum anglais d'Ubuntu.
C'est donc normal que certains ne puissent pas accéder aux fichiers en question si ils ont fait une mise à jour ce matin.

Beau boulot des équipes de maintenance d'Ubuntu, ça force le respect.

Sans vouloir troller, spa avec Win$ qu'on aurait droit à ça. ^^

@+...

david2b · Le 13/03/2006, à 12:56

Bizarre, chez moi (Brezzy installée le mois dernier, 3 utilisateurs...)

cat /var/log/installer/cdebconf/questions.dat
cat: /var/log/installer/cdebconf/questions.dat: Permission non accordée

et sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot" ne donne rien....

Ou est la faille si d'une part, je dois déjà donner mon pass root (avec sudo) pour voir ce fichier, et d'autre part, si ce fichier ne contient pas mon pass root ?????!!!

ABYSS · Le 13/03/2006, à 12:59

Salut,:)

Si j'ai bien compris il y en avait trois ce matin c'est ça:

Base config
Login
et passwd

@+

entar · Le 13/03/2006, à 13:19

AlexandreP a écrit :

Pourtant, il semble que ce problème ne soit pas arrivé qu'à moi
Si le fichier a le mode 600, il n'y a pas de problème, seul root peut l'ouvrir et le lire. Chez moi, j'ai pu lire le fichier en tant qu'utilisateur normal, ce qui est un risque de sécurité.
Vous avez essayé de faire une recherche avec votre mot de passe en tant que critère dans le fichier, voir si celui-ci s'y trouve?
[+] Emil Oppeln-Bronikowski rapporte que sa Hoary dist-upgradée. En fait, cela ne semble pas toucher Hoary et Warty (et les Breezy mises à niveau avec apt-get dist-upgrade).
[++] Un patch semble avoir été publié tard le 12 mars (ou très tôt le 13 mars, dépendement d'où vous vivez). http://www.ubuntu.com/usn/usn-262-1

je viens de regarder sur mon ubuntu et effectivement il y a bien mes mdp en clair. m'en vais te le supprimer ce fichier.

quelqu'un · Le 13/03/2006, à 13:37

ABYSS a écrit :

Salut,:)
Si j'ai bien compris il y en avait trois ce matin c'est ça:
Base config
Login
et passwd
@+

ah c'est vrai, j'aurai du me souvenir des noms et faire le rapport, effectivement j'avais fait les mises à jours avant.

wam · Le 13/03/2006, à 13:46

et près on dit que Linux, c'est sûr... on a eu chaud au cul...:D
heureusement que j'avais changé mon mot de passe entre temps!

Black_pignouf · Le 13/03/2006, à 14:12

Tout à fait d'accord avec toi _cep, je m'en vais de ce pas virer le mot de passe ce log.
Un individu mal intentionné pourrait y accéder via LiveCd ou via "Recovery mode", et ensuite utiliser mon ordi en root comme si de rien n´était.

C'est quand même gros comme faille, non?
Ok, l'équipe de sécurité a vite corrigé le tir, mais ca fait quand même 5 mois qu'on se trimballe un mdp en clair!

quelqu'un · Le 13/03/2006, à 14:33

Si tu fais les mises à jours, le mdp disparait du fichier, j'ai fait une recherche avec mon mot de passe, et une partie seulement pour voir si il n'était pas inscrit en plusieurs parties, et il n'y a rien.
Et le fichier passe tout seul en 600 (root, lecture/ecriture).

Linux n'est pas plus sûr qu'un autre systeme par son plus petit nombres de failles, au contraire je crois même que peu de failles sont découvertes sous windows en comparaison, mais il est plus sur par la correction rapide des failles.
Et le bug a été corrigé en moins de 12heures, alors que personne de mal intentionné ne l'avait découvert, donc ça va, ça craint le mdp en clair mais ..
Tout systeme a une faille.
Tu ne pourras jamais empecher des failles, il faut être réactif.
Du moment qu'elle ne reste pas ouverte, c'est l'essentiel.

quelqu'un · Le 13/03/2006, à 14:39

Black_pignouf a écrit :

Un individu mal intentionné pourrait y accéder via LiveCd ou via "Recovery mode", et ensuite utiliser mon ordi en root comme si de rien n´était.

euh.. le liveCD est une faille à lui tout seul, tu n'as pas besoin de ce bug, si quelqu'un peut booter avec un liveCD sur ton ordi, il a les droits root, donc il peut tout faire.
Si tu ne fais pas confiance à ton entourage protege mieux ton ordinateur : mot de passe pour GRUB et le BIOS, désactive le démarrage de tous les périphériques (cd-rom, usb, floppy, etc.) laisse uniquement ton DD, ne laisse pas trainer ton portable, ne donne pas ton mdp ou des indices, verouilles ton écran quand tu pars, ou éteint le, etc.
Je ne crois pas que cette faille soit spécialement un danger pour une personne qui accede physiquement à ton ordi, mais plutot à distance.

lost-in-the-shell · Le 13/03/2006, à 15:16

Même pas 5 heures entre le signalement du bug et sa correction... épatant

cep_ · Le 13/03/2006, à 15:25

quelqu'un a écrit :

...
Je ne crois pas que cette faille soit spécialement un danger pour une personne qui accede physiquement à ton ordi, mais plutot à distance.

Lorsqu'on accède à distance à un ordi, il n'est pas nécessaire d'exploiter cette faille.

Sinon, si on applique les mises à jour de sécurité, inutile de modifier les permissions sur ce fichier (ce qui n'était tout de même pas suffisant) ni de modifier ou supprimer le fichier, puisque la mise à jour réécrit ce log.

eldadou38 · Le 13/03/2006, à 15:36

Re-Salut,

Est-ce cette mise à jour => main linux-image-2.6.12-10-386 2.6.12-10.30 [18,0MB] ??

Merci.

A+

Black_pignouf · Le 13/03/2006, à 15:40

alors que personne de mal intentionné ne l'avait découvert,

je ne vois pas comment on peut en être sur!

Et effectivement, le liveCD est une gros danger potentiel à lui tout seul, mais je trouve qu'il y a quand même une grosse différence entre :
-devoir modifier le bios, booter sur un CD et utiliser la machine en mode "root invité" via LiveCd sans connaitre le mot de passe root hôte (au mieux, on récupere le fichier shadow et on attaque une grosse recherche après)
-avoir le mot de passe root et se balader le plus tranquillement du monde sans attirer l'attention.

Le premier demande plus de temps, est moins facilement détectable et donne moins d'information au pirate.
-Si je veux bousiller un ordi, (tant qu'à avoir un accès physique), je préfere le jeter par la fenêtre que m'embêter à booter sur un LiveCd et vider le disque dur.
-Si je veux au contraire récuperer les informations sensibles régulièrement sans attirer l'attention, lire un simple fichier log pour obtenir le mot de passe root me parait bien plus pratique.

Lorsqu'on accède à distance à un ordi, il n'est pas nécessaire d'exploiter cette faille.

Ben si! Si on veut se connecter en root alors qu'on est qu'un pauvre utilisateur!

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/03/2006, à 01:43

[Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#2 Le 13/03/2006, à 04:45

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#3 Le 13/03/2006, à 05:14

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#4 Le 13/03/2006, à 05:23

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#5 Le 13/03/2006, à 08:15

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#6 Le 13/03/2006, à 08:37

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#7 Le 13/03/2006, à 09:40

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#8 Le 13/03/2006, à 10:45

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#9 Le 13/03/2006, à 10:54

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#10 Le 13/03/2006, à 11:03

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#11 Le 13/03/2006, à 11:04

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#12 Le 13/03/2006, à 12:32

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#13 Le 13/03/2006, à 12:55

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#14 Le 13/03/2006, à 12:56

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#15 Le 13/03/2006, à 12:59

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#16 Le 13/03/2006, à 13:19

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#17 Le 13/03/2006, à 13:37

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#18 Le 13/03/2006, à 13:46

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#19 Le 13/03/2006, à 14:12

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#20 Le 13/03/2006, à 14:33

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#21 Le 13/03/2006, à 14:39

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#22 Le 13/03/2006, à 15:16

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#23 Le 13/03/2006, à 15:25

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#24 Le 13/03/2006, à 15:36

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#25 Le 13/03/2006, à 15:40

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

Pied de page des forums