Ubuntu 5.10インストーラにroot権限パスワード漏洩のバグ 22
ストーリー by yoosee
玄関に鍵付けっぱなし 部門より
玄関に鍵付けっぱなし 部門より
tamo曰く、"Ubuntu 5.10 をインストールした人は /var/log/installer/cdebconf/questions.dat
を確認してください! 簡単に調べるためには
grep -r password /var を実行するのも良いようです。
本家記事にある通り、
Ubuntu 5.10 (Breezy Badger) のインストーラは、インストール時に最初に作成した sudo 可能なアカウントの
入力されたパスワードを平文のままログに残していたようです。
そのログは一般ユーザから読めるファイルのため、
任意のローカルユーザによって root 権限が奪取される事になります。
なおこの問題は、既に
usn-262-1
として修正済みです。また 4.10, 5.04, 6.04 には影響しません。
修正された base-config
と passwd パッケージを入れれば、ログファイルは root にしか読めなくなります。"
ついでに重要な文面を (スコア:3, 参考になる)
> また 4.10, 5.04, 6.04 には影響しません。修正された
> base-config と passwd パッケージを入れれば、ログ
> ファイルは root にしか読めなくなります。
ついでにコメントをしておくと、
修正された base-config と passwd パッケージを入れれば、「平文で記録されているパスワードは削除され、」ログファイルは root にしか読めなくなります。
CD-R 廃棄など (スコア:2, 参考になる)
CD-R に焼いて配っちゃったりしないよう気を付けましょう。
#yoosee 氏、Ubuntu に root ユーザがないとかいう件、修正ありがとうございました。
#「簡単に調べるためには grep -r password /var を実行するのも良いようです」という文も編集者の加筆です。
Re:CD-R 廃棄など (スコア:0)
いいのかなぁ。。。 (スコア:2, すばらしい洞察)
これやってるときに別ユーザからps -axuされるとpassばれませんか?
(「password」ってrootのpass書けってことだよね?)
せめて上記を別ファイルに書いてsh hoge.shとかの方がよくない?
#なんか勘違いしてる?
Re:いいのかなぁ。。。 (スコア:2, 参考になる)
>これやってるときに別ユーザからps -axuされるとpassばれませんか?
バレますね。
>せめて上記を別ファイルに書いてsh hoge.shとかの方がよくない?
それをやってもバレますね。
grep -r -f - /var
password
[CTRL-D]
Re:いいのかなぁ。。。 (スコア:0)
少しは好感度上ってきてたかと思いますが。。。 (スコア:1)
イメージダウンに継がらないことを祈ります。
4/22リリース予定の6.04 The Dapper Drake に期待します。
Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:4, 参考になる)
公表されていなかったことです。
BTS で (開発者の?) 最初の反応が
「次リリースでは直ってるよ」だった
というのは私にとってショックでした。
脆弱性->修正したから終わり
というのでは安心して使えないと思うのです。
今回の件、セキュリティに関してはかなり評判を落としかねません。
Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:2, 参考になる)
その日のうちに修正版が出て、セキュリティーアナウンスも公表されました。
それだけの事です。
開発版にもcdebconfパッケージの修正が出されています。
過去に修正されたバグが公表されていなかったのではありません。
Dennisさんの発言だと思いますが、特定のバージョンで報告された問題について
現在の開発版の状況を調査し報告することは何か問題のある行為でしょうか?
仮に彼がbase-configパッケージのメンテナであったならば、もう少し
踏み込んだ発言があってほしかったと期待する事はできるのかも知れませんが、
彼はそうではありません。
# 後にAlexandreさんが開発版にも問題が起こることがあると報告しています。
Dennisさんを含めリリース版に修正が必要ないと言った開発者はありません。
この問題はColinさんの手で適切に対処されているものと思います。
Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:0)
> 現在の開発版の状況を調査し報告することは何か問題のある行為でしょうか?
“現在の開発版”で直って“いた”とすれば、脆弱性に気づいて直したけれども、そのことについて黙っていた人が少なくとも一人はいる、ということなのでは。
Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:0)
Re:少しは好感度上ってきてたかと思いますが。。。 (スコア:2, 参考になる)
Dapperのリリースが6週間遅れるという話が持ち上がっています。
http://lwn.net/Articles/175272/
http://www.ubuntuforums.org/showthread.php?t=142536
Ubuntu5.10 (スコア:1)
私はrootユーザーを有効にしてしまって、root権限が必要な作業はrootになってやっています。
(X環境のOSアップデートの時はsudoで実行されるのでその時だけはログインしているユーザーのパスワードを入れるのでたまに間違えます)
家に帰ったら早速チェックしてみようと思います。
部門名 (スコア:0)
付けっ放しと言うよりも、
玄関前の植木鉢の下にスペアキーを置きっ放している事が判明しました、
ってのイメージしてみた。
○○ちゃんへ (スコア:0)
バグなんですか? (スコア:0)
Re:バグなんですか? (スコア:1)
私は思います。
不具合(バグ)ではないが脆弱性だということでしょう。
設計どおりに作っても脆弱性は脆弱性。
設計どおりに動かないという不具合でも、脆弱性でなければ
脆弱性とは言わないでしょう。
Re:それを言うなら (スコア:0)
全く理解していない事がばれてるよ。
Re:それを言うなら (スコア:0)
今回問題となってる相手は犬厨だから
正論を説く事はまったくのムダだと理解しなければ。
相手にわかる言葉で話す努力をしよう。