Ubuntu victime d’une faille de sécurité
Par
Nicolas Aguila
| Publié le 13/03/2006 à 19:09
Source : Présence PC | Mots-clés : faille, ubuntu, linux
Source : Présence PC | Mots-clés : faille, ubuntu, linux
Syndication :
Connu pour sa sécurité accrue, Linux n’est pas pour autant exempt de failles. Cette fois-ci, la sécurité du système est remise en question sur la distribution Ubuntu pour un erreur simpliste, voire un oubli basique, mais qui peut dangereusement compromettre la sécurité...La distribution en cause est donc Ubuntu Linux 5.10. C’est dans cette version que Karl Øie a découvert une faille affectant le système. Il semblerait que lors de l’installation, le mot de passe créé pour le premier utilisateur apparaisse en clair dans les fichiers logs de l’installeur. De nombreux autres fichiers par la suite contiendront eux aussi ce même mot de passe, toujours pas crypté, les fichiers étant accessibles en lecture à tous les utilisateurs. De plus, le premier utilisateur créé sur le système peut disposer de droits similaires à ceux donnés au root, à savoir qu’il a accès à l’ensemble du système. Les deux paquets en cause, base-config (qui sert à la configuration du système sur un système Debian) et passwd (qui sert à régler le mot de passe pour les utilisateurs), sont d’ores et déjà corrigés et il est conseillé de mettre ces paquets à jour via le gestionnaire de paquets de la distribution Ubuntu.
Source : Linuxfr
-
Actualité précédente
Rumeurs consoleuses... -
Actualité suivante
Internet trop indiscret ?
Et puis, je ne me fais pas trop de souci : la communauté du libre ne tardera pas à réagir afin de combler cette faille...
Pas comme chez M... ;-)
De toute facon, le sudo ubuntu est un choix de simplicité, pas de sécurité, et ça tout le monde le savait depuis le début je pense.
Et puis, je ne me fais pas trop de souci : la communauté du libre ne tardera pas à réagir afin de combler cette faille...
Pas comme chez M... [/QUOTE]
L4m3.
Oh oui que ça soit bourré de failles tant mieux ! Au moins ça prouve que c'est utilisé ! Puis tant que c'est pas microsoft on en a rien à foutre ! Bah oui tant que la faille est pas chez microsoft elle n'a rien de grave :x
Le libre vaincra !
(Oh mon dieu je viens de poster un message qui ne critique pas Microsoft, je vais être pendu
Apparemment c'est déjà fait :
Par contre il faut bien sûr changer de password car je ne pense pas que cette correction aille jusqu'à modifier les fichiers de log ...
C'est clair !
Celle là elle est quand même pas mal ...
Surtout que la sécurité du système d'exploitation est quand même basée sur les mots de passe :-o (comment faire autrement d'ailleurs ?)
La faille a été trouvée hier, ce matin la correction était disponible.
Si ça ce n'est pas de la réactivité !
Oui, Linux n'est pas parfait, mais au moins contrairement à MS, on ne traine pas dès qu'il s'agit de corriger les failles. Voilà, c'est dit, libre à certains de continuer à descendre l'OS, ce sera cette fois-ci en connaissance de cause !
ha !!! vi je me rappele, par défaut on est admin sous windows[/troll]
mis à part ça, c'est normal qu'il y ait des bugs et des failles, personne n'est parfait
maintenant personne ne dit que Linux est inviolable et exempt de bugs, ni plus ni moins que n'importe quel autre système d'exploitation, car tous ces système utilisent des softs, plus ou moins fiables (ici il s'agit de la version ubuntuisée de base-config), il n'en reste pas moins que le le comportement par défaut du système est d'origine plus sécurisé que celui de Windows (au niveau des noyaux, c'est kif kif)
perso j'ai regardé et je n'étais pas concerné (pourtant je suis sous breezy aussi)
il suffit d'avoir changé son pass depuis l'installation et ya pas de prob de tte façon.
au fait le correctif était dispo (et installé ;-)) ce matin.
Il suffit simplement de mettre à jour via synaptic ou adept et le mot de passe est retiré du fichier et celui-ci est mis en lecture seule uniquement pour le root alors qu'avant il avait des droits de lecture pour tous.
Il est également fortement conseillé de modifier son mot de passe par un nouveau.
Non pas libre, gratuit !
free = libre
free = gratuit
On peut dire que windows peut-etre free (gratuit) mais pas libre (sauf une toute petite partie de code effectivement dispo sur P2P)
---
Concernant cette "faille", il faut quand meme que le "pirate" ai un acces physique a la machine et qu'il soit loggué, je ne trouve donc pas que ce soit hyper dangereux. Meme si c'est quand meme une belle boulette.
/me va faire une petit sudo apt-get upgrade
L4m3.
Oh oui que ça soit bourré de failles tant mieux ! Au moins ça prouve que c'est utilisé ! Puis tant que c'est pas microsoft on en a rien à foutre ! Bah oui tant que la faille est pas chez microsoft elle n'a rien de grave :x
Le libre vaincra !
(Oh mon dieu je viens de poster un message qui ne critique pas Microsoft, je vais être pendu
Clairement, t'as un peu raison là. Mais bon, c'est "les linuxiens d'infos-du-net", faudrait pas généraliser non plus.
Ensuite, je sais pas si t'as remarqué, mais mon message, juste au dessus du tien, était (bon de manière dissimulée, mais quand même) une critique assez violente d'Ubuntu. Le contraire, donc, de ce que dont tu parles.
Bien évidemment, j'ai pas écris "Rahrah Ubun$u C'est de la MERDE, de toute façon Canonidaube et et Mark $huttle$hit ils font que de la _bouse_, je CHIE sur ubuntu".
Suis-je sensé le regretter ?
Hum, je crois me souvenir que le mec qui avait lancé un défi de pirater son Mac, il s'est fait owned à cause d'un accès ssh laissé ouvert. Hmmm ?
(étant donné que plein d'ubuntuiens ne savent pas changer les /etc/init.d, je pense qu'un max de gens ont un sshd allumé au démarrage. Pour peu qu'ils aient un compte invité avec mot de passe trivial, paf...)
(il me semble que vous pourriez la config pour que le mot de passe demandé par sudo soit le mot de passe root, et pas le mot de passe user/sudo : il faut rajouter 'targetpw' dans les options de Defaults)
Perso, je n'étais pas concerné par le problème alors que je n'ai pas changé le mot de passe depuis l'install ; mais bon, j'ai upgradé aussi ;-)
pour sudo, je l'utilise aussi et je trouve ça pas mal ; surtout que si on a beaucoup de commandes à taper en root, on peut passer en simili root en faisant sudo -s
"avec toutes ces merdes" = une merde lié à ce problème qui est réglée ; si tu ne t'es pas fait avoir, aucune raison de t'inquiéter
Ubuntu est une très bonne distribution pour débuter avec Linux ; perso je la conseille pour les débutants car elle est simple à mettre en oeuvre / à mettre à jour, et tout à fait suffisante pour commencer. Après, le choix de la distrib n'est qu'une question de goût, de choix ou d'orientation ^^
C'est peut être ça justement la différence avec Microsoft Windows : le choix !!!
(avis au troll : ce n'est pas une critique...)
Je retiendrais juste une chose : "y a des failles !!! oui mais bon elle est corrigé en 24h."
Bonne journée à tous...
En effet là ce n'est pas une faille mineure.
Ca craint quand même, heureusement que c'est résolu...
Si si : sur les 20 commentaires il y en a un qui dit :
Quelle honte de critiquer aussi violemment microsoft ;-)
Sur ceux je vais encore rester avec mes double clic un petit momment (je telecharge mandriva en ce momment... 6,5Go pour le momment je sais pas qd ca va s'arreter,youpi... d'ailleur je me pose aussi la question de "comment je vais graver ca :-o ")
Alors forcement des qu'on parle de ligne de commande ca fait peur a l'utilisateur lambda, pourtant pour un usage desktop/administation basique on peut tres bien s'en passer !
En revanche, des qu'on est aventureux, la ligne de commande permet d'acceder a des nouvelles fonctionnalites, celles qu'on ne trouve pas chez le concurent !
PS: je vais me faire un alias sudoku=sudo de ce pas, c'est sympa comme jeu de mots !
Tu devrais peut-être essayer la ubuntu plutôt ?
L'image fait moins de 700 Mo car elle ne contient pas 50 logiciels qui font la même chose ...
Moi je tape "su". C'est tellement plus dur...
H-chich : on t'oblige pas à changer hein, reste à windows si tu veux pas de ligne de commande.
J'aime pouvoir dire que j'ai testé, et voir l'evolution, trouver le "pourquoi tout le monde en dis tant de bien". Au moins je me sens moins troll en disant que Windows n'est pas si mauvais que ca apres
Si ça ce n'est pas de la réactivité !
Il faut prendre le problème dans l'autre sens : depuis cb de temps la faille existe-t-elle ? Depuis les débuts de Breezy donc plusieurs mois.
Quelle réactivité ? ;-)