[Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

cep_ · Le 13/03/2006, à 15:53

Ben non, il y a accéder et accéder

quelqu'un · Le 13/03/2006, à 16:07

Black_pignouf on est d'accord mais c'etait juste pour insister sur le côté (le mythe même) sans faille de linux, apres le technique je ne sais pas, je suis un newbie hein, je le rappelle

Explique-toi cep_

Dernière modification par quelqu'un (Le 13/03/2006, à 16:07)

wam · Le 13/03/2006, à 16:08

euh, moi, on ne m´a proposé aucune mise à jour. est-ce parce que j´utilise le kernel 2.6.10-5-386 qui date de hoary?

cep_ · Le 13/03/2006, à 16:19

@ wam : tu as édité ton log pour voir si le mot de passe était en clair ou s'il était lisible par tout le monde ?

cat /var/log/installer/cdebconf/questions.dat

Sinon tu as fait un sudo apt-get update pour voir si tu avais des mises à jour ? tes sources sont configurées pour avoir les mises à jour de sécurité ?

- - - -
@ quelqu'un : je ne pense pas que ce soit bien nécessaire.

wam · Le 13/03/2006, à 16:25

oui, j´ai fait tout ça. Il n´y est pas, puisque j´ai changé mon mot de passe entre temps et je crois même que le mot de passe initial n´y apparait pas non plus.

j´ai fait l´update, rien ne m´est proposé. J´imagine que l´update ne porte que sur certain kernels... (j´espère que ceux qui n´ont pas le dernier kernel ne trainent pas la faille tout de mÊme)

cep_ · Le 13/03/2006, à 16:32

Non ce n'est pas un problème de kernel.

Les mises à jour étaient avec :

base-config
passwd

Elles enlèvent le mot de passe du log et réctifient les droits.

eldadou38 · Le 13/03/2006, à 16:47

@_cep : Oki merci

Eric P. · Le 13/03/2006, à 19:02

cep_ a écrit :

Qu'il soit en 600 ou autre, aucune importance.
Il n'est pas difficile d'éditer ce fichier (inutile d'en résumer les méthodes ).

Je suis d'accord qu'un mot de passe n'a jamais a apparaitre en clair.
Cependant ca a une tres grosse importance qu'il soit en 600 ou pas.

Sur ton PC personnel, c'est sur que tu peux rebooter sur un LiveCD pour monter la partition et la lire, mais sur ton PC personnel, tu te fous bien de connaitre le mot de passe root, tu le connais deja.
Et si ta petite soeur est capable de recuperer le mot de passe root, il est fort probable que tu lui ait laisse les droits root sur la machine.

Non, cette faille est critique sur un serveur qui gere plusieurs compte utilisateurs ayant des droits limites. Et dans ce cas, les utilisateurs en question ont acces au filesystem (sous leur compte) mais n'ont aucun moyen physique sur la machine. Seuls les sysadmins ont acces physique aux serveurs.
Et heureusemement car ca poserait des problemes. Notamment, les mots de passes sont stockes dans le fichier /etc/shadow lisibles par root uniquement (certes encodes, mais si les mots de passe ont quitte /etc/passwd lisible par tout le monde, c'est bien que ca posait des problemes. Par exemple le MD5, algo le plus utilise, a ete largement compromis).

De maniere generale, c'est suicidaire d'avoir un serveur dont n'importe qui peut avoir d'une maniere ou d'une autre les droits root sur le filesystem.

Dernière modification par Eric P. (Le 13/03/2006, à 19:05)

cep_ · Le 13/03/2006, à 19:34

" Qu'il soit en 600 ou autre, aucune importance " voulait dire que le fait de mettre le fichier en 600 ne supprimait pas la faille. Tout simplement.

D'ailleurs le patch publié entre temps supprime simplement le pass dans ce fichier. CQFD.

Pour le reste, n'ayant jamais prôné le 755 ou autre "curiosité" sur / je suis d'accord

wam · Le 13/03/2006, à 19:38

c'est bon, j'ai refais un autre upgrade et ce coup-ci, c'est à jour!

Link31 · Le 13/03/2006, à 19:40

david2b a écrit :

sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot"

:lol::lol::lol::lol::lol:
Comme ça ton mot de passe est en clair dans l'historique de la console maintenant !

Dany04 · Le 13/03/2006, à 20:01

La dernière mise à jour a réglé le problème qui existait chez moi donc depuis l'installation de Breezy. Si l'on peut saluer la rapidité de la réaction, on peut aussi s'inquiéter de la présence d'une faille aussi "élémentaire". Je trouve que cela ternit un peu l'image "sécurité" de linux, en tout cas d'Ubuntu. Dommage...

cep_ · Le 13/03/2006, à 20:05

@Dany04 : parce qu'elle est simple à vérifier et qu'elle à fait "beaucoup parler" en peu de temps. À côté de ça, il y a bien d'autres failles un peu partout, qui sont réparées, mais moins visibles car moins évidentes à montrer

cep_ · Le 13/03/2006, à 20:07

PAr "un peu partout", je voulais dire dans toutes les distributions, os et programmes, bien sûr

wam · Le 13/03/2006, à 20:13

eh eh, c'est chiant de pas pouvoir éditer ses post hein?

cep · Le 13/03/2006, à 20:21

@ wam : grrrrrrrrrrrrrr

wam_ · Le 13/03/2006, à 20:23

ABYSS · Le 13/03/2006, à 22:45

Les mises à jour étaient avec  :

base-config
passwd

Merci pour la réponse cep_;)

Black_pignouf · Le 17/03/2006, à 10:41

Au fait! Les postes installés avec la mise à jour automatique désactivée, ils vont rester avec le mot de passe en clair? Les mises à jour de sécurité sont-elles installées quelque soit la config?
Sinon, pas mal de postes vont rester protégés comme du gruyère!

AlexandreP · Le 17/03/2006, à 21:49

Si les mises à jour sont désactivées, les postes ne seront pas mis à jour. Bah oui, Ubuntu te demande ton avis avant d'installer une quelconque mise à jour!

De toute façon, à mon sens, on devrait toujours laisser les mises à jour activées, au moins pour les dépôts -security.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 13/03/2006, à 15:53

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#27 Le 13/03/2006, à 16:07

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#28 Le 13/03/2006, à 16:08

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#29 Le 13/03/2006, à 16:19

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#30 Le 13/03/2006, à 16:25

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#31 Le 13/03/2006, à 16:32

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#32 Le 13/03/2006, à 16:47

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#33 Le 13/03/2006, à 19:02

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#34 Le 13/03/2006, à 19:34

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#35 Le 13/03/2006, à 19:38

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#36 Le 13/03/2006, à 19:40

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#37 Le 13/03/2006, à 20:01

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#38 Le 13/03/2006, à 20:05

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#39 Le 13/03/2006, à 20:07

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#40 Le 13/03/2006, à 20:13

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#41 Le 13/03/2006, à 20:21

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#42 Le 13/03/2006, à 20:23

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#43 Le 13/03/2006, à 22:45

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#44 Le 17/03/2006, à 10:41

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

#45 Le 17/03/2006, à 21:49

Re : [Faille - Breezy] Le mot de passe utilisateur en clair dans un fichier

Pied de page des forums