Total Security - totalsecurity.com.br
Ubuntu salva senha de administração sem encriptação
A distribuição Linux Ubuntu apresenta uma falha grave de segurança na sua versão 5.10 que expõe a qualquer usuário a senha de administração do sistema.Um usuário publicou no fórum do Ubuntu a sua descoberta de que, durante o processo de instalação, o Ubuntu armazena em um arquivo de log (/var/log/installer/cdebconf/questions.dat) todas as perguntas feitas ao usuário e também as respostas. E, entre estas perguntas, está o login e senha do primeiro usuário criado que são armazenadas em texto sem encriptação no log. Por padrão o Ubuntu não permite acesso do super-usuário (root), mas o primeiro usuário criado tem permissão total de uso do comando sudo (que permite executar comandos como root).
O arquivo de log é acessível para qualquer usuário do sistema, portanto, basta ter acesso por ftp ou ssh e baixar o arquivo para descobrir a senha de administração.
Veja aqui o alerta oficial do Ubuntu sobre o assunto
Solução:
É necessário atualizar os pacotes base-config para a versão 2.67ubuntu20 e passwd para a versão 1:4.0.3-37ubuntu8. Uma atualização normal do sistema deve resolver o problema.
É recomendável também mudar a senha da conta vulnerável se outros usuários tem acesso ao sistema e podem ter explorado a falha.
TotalSecurity
O arquivo de log é acessível para qualquer usuário do sistema, portanto, basta ter acesso por ftp ou ssh e baixar o arquivo para descobrir a senha de administração.
Veja aqui o alerta oficial do Ubuntu sobre o assunto
Solução:
É necessário atualizar os pacotes base-config para a versão 2.67ubuntu20 e passwd para a versão 1:4.0.3-37ubuntu8. Uma atualização normal do sistema deve resolver o problema.
É recomendável também mudar a senha da conta vulnerável se outros usuários tem acesso ao sistema e podem ter explorado a falha.
TotalSecurity
Fonte:
Eu escrevi
URL Fonte: https://totalsecurity.com.br/noticia/1360/visualizar/
Comentários