Root-Passwort leicht unter Ubuntu 5.10 auslesbar!
Laut Heise.de ist es ohne weiteres möglich bei Ubuntu 5.10 das passwort im Klartext zu lesen! So ist nach der installation von Ubuntu in den Log-Dateien klar und deutlich das erste vom Benutzer angelegte Passwort zu lesen. Nicht genug, ist es jedem möglich die Datei zu lesen, das Recht wird als “world-readable” bezeichnet. Bei ubuntu ist es zwar nicht üblich als Root unterwegs zu sein, aber Rootrechte erlangt man mit Sudo, welches das vom Benutzer definierte Passwort verlangt um Rootrecht zu vergeben. Um zu prüfen, ob das eigene Passwort klar lesebar ist, genügt folgende Prüfung:
grep -r rootpasswort /var
dabei muss rootpasswort durch das eigene Passwort ersetzt werden. Ursache soll ein Problem mit den Paketen base-config und passwd sein. Nach einem Update sollen alle Passwörter, die klar lesbar waren, gelöscht werden und die Log-Dateien können von nun an nur noch mit Root-Recht gelesen werden. Ubuntu 4.10, 5.04 und das kommende 6.04 sollen nicht betroffen sein, wer aber von 5.10 auf 6.04 geupdated hat, sollte besser das passwd-Paket auf die Version 1:4.0.13-7ubuntu2 updaten.
Weitere Infos auf Heise.de
(Keine Bewertung)
Loading ...