ubuntuusers.de

Kritische Sicherheitslücke in Ubuntu behoben

ubuntu_old.png

UbuntuEs wurde in der aktuellen Ubuntu-Version 5.10 "Breezy Badger" ein schwerer Fehler gefunden, der es jedem auch ohne Root-Rechte erlaubt, an das Passwort des ersten Benutzers des Computers zu gelangen.

Wie von Karl Øie hier beschrieben, ist ein sehr schwerer Fehler in der Ubuntu-Version 5.10 Breezy Badger enthalten.

Er fand heraus, dass in der Datei

/var/log/installer/cdebconf/questions.dat

ohne Verschlüsselung oder durch Zugriffsrechte geschützt das Passwort des ersten Benutzers des Computers steht. Der Fehler rührt wahrscheinlich von der Installation her, bei der vergessen wurde, die Datei wieder zu löschen; vermutlich passierte dies wegen des Zeitdrucks, der vor dem Release von Breezy Badger entstanden war. Abhilfe schafft man mit dem einfachen Shell-Befehl

sudo rm /var/log/installer/cdebconf/questions.dat

Dies kann man ohne Bedenken ausführen, da die Dateien nur für die Installation benötigt werden. In der Entwicklungsversion 6.04 alias Dapper Drake ist der Fehler bereits behoben, außerdem besteht der Fehler nur, wenn man die Ubuntu-Version 5.10 von CD installiert hat und nicht von der vorherigen Version 5.04 Hoary Hedgehog geupdated hat.

Update 04:32 Es wurde mittlerweile ein Ubuntu Security Notice (usn-262-1) geschrieben, mit dem nächsten Auto-Update werden die Passwörter aus der betreffernden Datei gelöscht und die Zugriffsrechte der Datei auf 700 gestellt.