Roma – Nell’ultima versione stabile della celebre distribuzione Linux Ubuntu , la Breezy Badger 5.10 , è stato scoperto un grave bug di sicurezza che consente a qualunque utente locale di ottenere la password di root.
Stando a quanto riportato in questa segnalazione , la password di root può essere letta semplicemente aprendo, con un editor di testo, il file questions.dat presente nella cartella /var/log/installer/cdebconf/ : si tratta di un file di log generato durante il processo di installazione del sistema operativo che, oltre a non venire correttamente cancellato, ha privilegi che ne consentono la lettura a tutti gli utenti locali.
Va detto che lo user name e la password registrati nel log incriminato sono quelli inseriti dall’utente al momento dell’installazione: ciò significa che se in seguito sono stati cambiati, non si è più esposti alla vulnerabilità.
Nella succitata pagina web che descrive il bug, alcuni utenti hanno segnalato diverse condizioni in cui il problema non si presenterebbe, quali ad esempio l’installazione di Ubuntu in modalità “per esperti”. Va inoltre aggiunto come Ubuntu venga generalmente utilizzato sui PC desktop, e difficilmente in ambienti multi-utente.
Il team di sviluppo di Ubuntu ha già messo a disposizione una patch che, oltre a “ripulire” il file di log dalle password, lo rende leggibile solo all’utente root. Gli sviluppatori hanno precisato che il bug non interessa le precedenti versioni del sistema operativo.