En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Vulnerabilidad grave en sistema Ubuntu 5.10

Esta vulnerabilidad consiste se da al actualizar la versión de Ubuntu 5.10 el instalador no puede limpiar contraseñas en los ficheros de log del instalador. Puesto que estos archivos son visibles para cualquier usuario local podría ver la contraseña del root (cuenta del usuario que tiene privilegios completos). Los paquetes actualizados quitan las contraseñas y además hacen los ficheros de log. Esto no afecta el Ubuntu 4.10, 5.04, o al instalador próximo 6.04. Sin embargo, si usted aumentó de Ubuntu 5.10 a la versión actual del desarrollo de Ubuntu 6.04, asegúrese por favor de que usted aumente el paquete del passwd a la versión 1:4.0.13-7ubuntu2 para fijar los ficheros del log del instalador. Los ficheros donde aparecen esta información son:

/var/log/installer/cdebconf/questions.dat
/var/log/debian-installer/cdebconf/questions.dat

Personalmente creo que es una vulnerabilidad increíblemente grave que la contraseña del root este en texto plano y accesible para todos los usuarios de la maquina. Y sinceramente pienso que si esta vulnerabilidad aparece en un Windows se montaría un escándalo impresionante.

Más información:
http://www.ubuntu.com/usn
Vulnerabilidad grave en sistema Ubuntu 5.10 Vulnerabilidad grave en sistema Ubuntu 5.10 Reviewed by Álvaro Paz on martes, marzo 14, 2006 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.