パスワードを忘れた? アカウント作成
Close
12046 story

Ubuntu 5.10インストーラにroot権限パスワード漏洩のバグ 22

ストーリー by yoosee
玄関に鍵付けっぱなし 部門より

tamo曰く、"Ubuntu 5.10 をインストールした人は /var/log/installer/cdebconf/questions.dat を確認してください! 簡単に調べるためには grep -r password /var を実行するのも良いようです。
本家記事にある通り、 Ubuntu 5.10 (Breezy Badger) のインストーラは、インストール時に最初に作成した sudo 可能なアカウントの 入力されたパスワードを平文のままログに残していたようです。 そのログは一般ユーザから読めるファイルのため、 任意のローカルユーザによって root 権限が奪取される事になります。

なおこの問題は、既に usn-262-1 として修正済みです。また 4.10, 5.04, 6.04 には影響しません。 修正された base-config と passwd パッケージを入れれば、ログファイルは root にしか読めなくなります。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Ubuntu 5.10インストーラにroot権限パスワード漏洩のバグ More

  • ついでに重要な文面を (スコア:3, 参考になる)

    by shiten (11861) on 2006年03月13日 20時00分 (#900419)
    > なおこの問題は、既に usn-262-1 として修正済みです。
    > また 4.10, 5.04, 6.04 には影響しません。修正された
    > base-config と passwd パッケージを入れれば、ログ
    > ファイルは root にしか読めなくなります。

    ついでにコメントをしておくと、

    修正された base-config と passwd パッケージを入れれば、「平文で記録されているパスワードは削除され、」ログファイルは root にしか読めなくなります。

  • CD-R 廃棄など (スコア:2, 参考になる)

    by deleted user (19654) on 2006年03月13日 20時02分 (#900420) ホームページ 日記
    忘れたころに未修正 5.10 の ISO イメージを使ってインストールしたり
    CD-R に焼いて配っちゃったりしないよう気を付けましょう。

    #yoosee 氏、Ubuntu に root ユーザがないとかいう件、修正ありがとうございました。
    #「簡単に調べるためには grep -r password /var を実行するのも良いようです」という文も編集者の加筆です。

  • いいのかなぁ。。。 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年03月14日 0時45分 (#900668)
    grep -r password /var
    これやってるときに別ユーザからps -axuされるとpassばれませんか?
    (「password」ってrootのpass書けってことだよね?)

    せめて上記を別ファイルに書いてsh hoge.shとかの方がよくない?

    #なんか勘違いしてる?

    • Re:いいのかなぁ。。。 (スコア:2, 参考になる)

      by Anonymous Coward on 2006年03月14日 1時20分 (#900684)
      >grep -r password /var
      >これやってるときに別ユーザからps -axuされるとpassばれませんか?

      バレますね。

      >せめて上記を別ファイルに書いてsh hoge.shとかの方がよくない?

      それをやってもバレますね。

      grep -r -f - /var
      password
      [CTRL-D]
      シェア
      親コメント
    • ケーブル引っこ抜けばいいんじゃね?
  • ようやく萌えイメージが払拭されて、ぼちぼち好感度上ってきたかと思ってたんですが。。。
    イメージダウンに継がらないことを祈ります。

    4/22リリース予定の6.04 The Dapper Drake に期待します。
    • 気になるのは、これが既に修正されていたのに
      公表されていなかったことです。

      BTS で (開発者の?) 最初の反応が
      「次リリースでは直ってるよ」だった
      というのは私にとってショックでした。

      脆弱性->修正したから終わり

      というのでは安心して使えないと思うのです。
      今回の件、セキュリティに関してはかなり評判を落としかねません。

      シェア
      親コメント

      • Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:2, 参考になる)

        by Anonymous Coward on 2006年03月14日 21時42分 (#901359)
        この問題は、12日の15時に報告され、5時間後に修正の方針が示され、
        その日のうちに修正版が出て、セキュリティーアナウンスも公表されました。

        それだけの事です。

        開発版にもcdebconfパッケージの修正が出されています。
        過去に修正されたバグが公表されていなかったのではありません。

        Dennisさんの発言だと思いますが、特定のバージョンで報告された問題について
        現在の開発版の状況を調査し報告することは何か問題のある行為でしょうか?
        仮に彼がbase-configパッケージのメンテナであったならば、もう少し
        踏み込んだ発言があってほしかったと期待する事はできるのかも知れませんが、
        彼はそうではありません。

        # 後にAlexandreさんが開発版にも問題が起こることがあると報告しています。

        Dennisさんを含めリリース版に修正が必要ないと言った開発者はありません。
        この問題はColinさんの手で適切に対処されているものと思います。
        シェア
        親コメント
    • オフトピですが……
      Dapperのリリースが6週間遅れるという話が持ち上がっています。
      http://lwn.net/Articles/175272/
      http://www.ubuntuforums.org/showthread.php?t=142536
      シェア
      親コメント

  • Ubuntu5.10 (スコア:1)

    by Kow (2603) on 2006年03月14日 10時33分 (#900908) ホームページ 日記
    先週5.04からアップデートしたばっかです。
    私はrootユーザーを有効にしてしまって、root権限が必要な作業はrootになってやっています。
    (X環境のOSアップデートの時はsudoで実行されるのでその時だけはログインしているユーザーのパスワードを入れるのでたまに間違えます)

    家に帰ったら早速チェックしてみようと思います。

  • 部門名 (スコア:0)

    by Anonymous Coward on 2006年03月13日 20時45分 (#900458)
    > 玄関に鍵付けっぱなし部門より

    付けっ放しと言うよりも、
    玄関前の植木鉢の下にスペアキーを置きっ放している事が判明しました、
    ってのイメージしてみた。

    • ○○ちゃんへ (スコア:0)

      by Anonymous Coward
      「カギはいつものところに置いてあります」って玄関の貼り紙じゃないの?

  • バグなんですか? (スコア:0)

    by Anonymous Coward on 2006年03月14日 10時31分 (#900904)
    このソフトがパスワードを入力させる“必然性”や,それをファイルに保存しておかなければならない“必然性”があるのか知らないのでアレですが,パスワードを平文で誰でも読めるファイルに保存,って話を数年前に結構聞いて記憶している身としては,最大限好意的に解釈しても“未必の故意”なんですが。
    • そうなるように作っただけだと思うので、バグではないと
      私は思います。
      不具合(バグ)ではないが脆弱性だということでしょう。

      設計どおりに作っても脆弱性は脆弱性。
      設計どおりに動かないという不具合でも、脆弱性でなければ
      脆弱性とは言わないでしょう。
      シェア
      親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家