[matarosensefils] [Fwd: una-al-dia (13/03/2006) Grave problema de seguridad en Ubuntu 5.10]

Jordi Clopés jordi a matarosensefils.net
dim mar 14 13:05:23 CET 2006 

-------- Missatge reenviat --------
> Assumpte: una-al-dia (13/03/2006) Grave problema de seguridad en
> Ubuntu 5.10
> Data: Tue, 14 Mar 2006 04:00:01 +0200
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
>  -------------------------------------------------------------------
>   Hispasec - una-al-día                                  13/03/2006
>   Todos los días una noticia de seguridad          www.hispasec.com
>  -------------------------------------------------------------------
>  
>  Grave problema de seguridad en Ubuntu 5.10
>  ------------------------------------------
> 
> Tras varias horas en las que no estaba claro el alcance del problema,
> incluso si existía o no dicho problema, el equipo de Ubuntu Linux ha
> emitido un aviso de seguridad en el que se detallan las condiciones en
> la que es posible la revelación de la clave de root en máquinas que
> corran Ubuntu Linux 5.10. El problema puede ser considerado de extrema
> gravedad.
> 
> Ubuntu es una distribución Linux basada en Debian, y patrocinada por
> Canonical Ltda, iniciativa empresarial de Mark Shuttleworth,
> empresario y fundador de la gestora de certificados Thawte. La
> distribución nació originalmente para ser usada como escritorio, si
> bien es perfectamente apta, con las debidas precauciones, para
> vertebrar servidores.
> 
> La versión 5.10 de Ubuntu "The Breezy Badger" es susceptible de
> revelar la clave de root, almacenada en texto plano. Con la simple
> ejecución en consola de "grep -r rootpassword /var", aparecen
> múltiples localizaciones donde es posible leer, en texto sin cifrar,
> el log de la instalación de Ubuntu, donde aparece la clave escogida
> para el root, además de otras cuestiones que son lanzadas al usuario 
> a la hora de instalar el producto. Los puntos donde aparece esta
> información son, en esencia:
> 
> /var/log/installer/cdebconf/questions.dat:Value: mypasswd
> /var/log/debian-installer/cdebconf/questions.dat:Value: mypasswd
> 
> Los paquetes afectados son base-config y passwd. Ubuntu se ha
> apresurado a emitir el aviso y proporcionar parches para ambos,
> 2.67ubuntu20 (base-config) y 1:4.0.3-37ubuntu8 (passwd). Los paquetes
> actualizados no sólo eliminan las claves en los logs, sino que
> convierten los registros de instalación en únicamente legibles por 
> el root de la máquina. El problema permite que cualquier usuario 
> local pueda obtener la clave que se eligió en la instalación de 
> la distribución, que muchas veces no se cambia y que por tanto,
> facultaría a un atacante a tomar control completo de los servicios 
> que pendan de la distribución.
> 
> El fallo es un error de diseño monumental, y tal y como se verifica 
> en este caso, los problemas de seguridad son a veces despistes
> incomprensibles de los desarrolladores y probadores. Afortunadamente
> para los usuarios del producto, la reacción ha sido muy rápida y los
> parches se han puesto a disposición del público con gran celeridad.
> Tirón de orejas por el despiste, y aplausos para el modelo de
> respuesta ante incidentes desplegado.
> 
> El problema no afecta a otras versiones de Ubuntu como 4.10 y 5.04. 
> No obstante, los usuarios que hayan actualizado a la versión en
> desarrollo, 6.04 "The Dapper Drake" desde una máquina 5.10 "The Breezy
> Badger" deben asegurar la instalación de los parches. Especial cuidado
> deben tener los usuarios que utilicen Ubuntu para servir, por motivos
> obvios.
> 
> Para actualizar, debe bastar, en la mayoría de los casos, una
> actualización vía "apt-get dist-upgrade". Otros métodos, como los
> frontales de gestión de paquetes tipo "synaptic", son válidos
> igualmente.
> 
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldia/2697/comentar
> 
> Más información:
> 
> Ubuntu 5.10 installer vulnerability
> http://www.ubuntu.com/usn/usn-262-1
> 
> Aviso original en los foros de Ubuntu
> http://www.ubuntuforums.org/showthread.php?t=143334
> 
> Ubuntu Linux
> http://www.ubuntu.com
> 
> 
> Sergio Hernando 
> shernando a hispasec.com
> 
> 
>  Tal día como hoy:
>  -----------------
> 
> 13/03/2005: Vulnerabilidades en MySQL 4.x
>     http://www.hispasec.com/unaaldia/2332
> 
> 13/03/2004: Escalada de privilegios en db2rcmd.exe de IBM DB2
>     http://www.hispasec.com/unaaldia/1966
> 
> 13/03/2003: Tres vulnerabilidades en Webcams Axis
>     http://www.hispasec.com/unaaldia/1600
> 
> 13/03/2002: Vulnerabilidad en SMS Server Tools
>     http://www.hispasec.com/unaaldia/1235
> 
> 13/03/2001: Democracia electrónica ¿a la vuelta de la esquina?
>     http://www.hispasec.com/unaaldia/870
> 
> 13/03/2000: Páginas dinámicas y usuarios maliciosos
>     http://www.hispasec.com/unaaldia/503
> 
> 13/03/1999: Problemas con las Zonas de Seguridad del Internet IExplorer 4
>     http://www.hispasec.com/unaaldia/137

-- 
 .''`.     
: :'  :    Usuari Jabber:
`. `'`     ataro a 12jabber.com   
  `-       
Debian - when you have better things to do than fixing a system

jordi a matarosensefils net


_______________________________________________
llista mailing list
llista a matarosensefils.net
http://matarosensefils.net/mailman/listinfo/llista_matarosensefils.net

Més informació sobre la llista de correu llista_matarosensefils.net