Ubuntu, la password di root è nuda

Ubuntu, la password di root è nuda

Il team di sviluppo della nota distribuzione Linux desktop ha corretto un serio problema di sicurezza sfruttabile da un qualsiasi utente locale per ottenere la password di root
Il team di sviluppo della nota distribuzione Linux desktop ha corretto un serio problema di sicurezza sfruttabile da un qualsiasi utente locale per ottenere la password di root


Roma – Nell’ultima versione stabile della celebre distribuzione Linux Ubuntu , la Breezy Badger 5.10 , è stato scoperto un grave bug di sicurezza che consente a qualunque utente locale di ottenere la password di root.

Stando a quanto riportato in questa segnalazione , la password di root può essere letta semplicemente aprendo, con un editor di testo, il file questions.dat presente nella cartella /var/log/installer/cdebconf/ : si tratta di un file di log generato durante il processo di installazione del sistema operativo che, oltre a non venire correttamente cancellato, ha privilegi che ne consentono la lettura a tutti gli utenti locali.

Va detto che lo user name e la password registrati nel log incriminato sono quelli inseriti dall’utente al momento dell’installazione: ciò significa che se in seguito sono stati cambiati, non si è più esposti alla vulnerabilità.

Nella succitata pagina web che descrive il bug, alcuni utenti hanno segnalato diverse condizioni in cui il problema non si presenterebbe, quali ad esempio l’installazione di Ubuntu in modalità “per esperti”. Va inoltre aggiunto come Ubuntu venga generalmente utilizzato sui PC desktop, e difficilmente in ambienti multi-utente.

Il team di sviluppo di Ubuntu ha già messo a disposizione una patch che, oltre a “ripulire” il file di log dalle password, lo rende leggibile solo all’utente root. Gli sviluppatori hanno precisato che il bug non interessa le precedenti versioni del sistema operativo.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 mar 2006
Link copiato negli appunti